一、漏洞详解
CRLF是”回车 + 换行”(rn)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦我们能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS。
对于CRLF漏洞最简单的利用方式是注入两个rn,之后在写入XSS代码,来构造一个xss。
比如一个网站接受url参数http://test.sina.com.cn/?url=xxx,xxx放在Location后面作为一个跳转。如果我们输入的是
1
|
http://test.sina.com.cn/?url=%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>
|
我们的返回包就会变成这样:
1
2
3
4
5
6
7
8
9
|
HTTP/1.1 302 Moved Temporarily
Date: Fri, 27 Jun 2014 17:52:17 GMT
Content–Type: text/html
Content–Length: 154
Connection: close
Location:
<img src=1 onerror=alert(/xss/)>
|
因此这里就会显示一个反射型xss漏洞~
二、实例分析
1、Twitter的HTTP响应拆分
难度:高
厂商:https://twitter.com/
报告地址:https://hackerone.com/reports/52042
报告日期:2015年4月21日
奖金:$3,500
2015年的4月,Twitter收到了一个漏洞报告,报告称黑客可以通过该漏洞在用户向Twitter发起的请求数据中**任意cookie值。
用户在访问https://twitter.com/i/safety/report_story(用户可以在这里举报广告)地址时,服务器会获取参数reported_tweet_id的值,并将其设置到cookie中,最后导致了漏洞。
实际上Twitter是有进行校验的,它会禁止用户提交换行符0x0a(%0a)。但Twitter在处理过程中,会先验证是否提交了禁止的字符,之后如果提交的数据是UTF-8编码过的,则会将其转为原始的unicode码后去掉一些无用字符后再取剩下的字节,正是因为这样的逻辑导致了绕过。
比如说用户提交的是:%E5%98%8A,这个不包含换行符所以不会被拦截,服务器接收到后将其转成原始的unicode码:U+560A,最后取了0A,这时候就变成换行符了。
绕过了CRLF拦截后,通过**javascript语句来执行xss攻击效果会更好!比如如下链接:
https://twitter.com/login?redirect_after_login=https://twitter.com:21/%E5%98%8A%E5%98%8Dcontent-type:text/html%E5%98%8A%E5%98%8Dlocation:%E5%98%8A%E5%98%8D%E5%98%8A%E5%98%8D%E5%98%BCsvg/onload=alert%28innerHTML%28%29%E5%98%BE
注意上面的%E5%E98%8A,会经过服务器处理后返回的数据就会变成下面的html响应的形式:
https://twitter.com/login?redirect_after_login=https://twitter.com:21/(CRLF)
content-type:text/html(CRLF)
location:<svg/onload=alert(innerHTML)>
在**换行符后,添加了可执行的javascript,最后可盗取用户的会话数据。
2、v.shopify.com响应拆分
难度:中
厂商:https://v.shopify.com/
报告地址:https://hackerone.com/reports/1064272
报告日期:2015年12月22日
奖金:$500
shopify会在后台中记录你上次访问的是哪一个商店,然后将其放置在cookie中,通过这个方式:/last_shop?SITENAME.shopify.com。
然后在2015年的12月份,漏洞提交者发现Shopify没有对参数进行校验,以至于白帽通过Burp Suite抓包提交%0d%0a就能造成CRLF漏洞,部分链接为:/last_shop?xxx.shopify.com%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2019%0d%0a%0d%0a<html>deface</html>
在上面的链接中,%20是空格,%0d%0a是换行字符。结果,浏览器收到了两个头部并选择渲染了后者,最后可导致各种漏洞,比如xss。
参考文章:
http://blog.csdn.net/think_ycx/article/details/50267801
http://www.cnblogs.com/wfzWebSecuity/p/6648767.html
今早在南大听讲座,讲的是一种利用域名冲突,配合WPAD进行中间人攻击,偶然想到之前经常会看到域名冲突的文章,但是利用手法不尽相同,于是就想好好研究回忆下黑客的主流域名劫持手法! 在早些时候,网站安全性没有现在这么高,经常会爆出大规模的数据泄露事件,这些事件也就…
请登录后发表评论
注册