CRLF (%0D%0A) Injection
最后更新于
最后更新于
回车符(CR)和换行符(LF)合称为 CRLF,是 HTTP 协议中用于表示行尾或新行开头的特殊字符序列。Web 服务器和浏览器使用 CRLF 来区分 HTTP 头和响应主体。这些字符在各种 Web 服务器类型(如 Apache 和 Microsoft IIS)的 HTTP/1.1 通信中被广泛使用。
CRLF 注入涉及将 CR 和 LF 字符插入用户提供的输入中。此操作会误导服务器、应用程序或用户,使其将插入的序列解释为一个响应的结束和另一个响应的开始。虽然这些字符本身并不具有危害性,但它们的误用可能导致 HTTP 响应拆分和其他恶意活动。
攻击者可以利用CRLF注入来操纵这个日志。通过在HTTP请求中注入CRLF字符,攻击者可以改变输出流并伪造日志条目。例如,一个注入的序列可能会将日志条目转换为:
这里,%0d 和 %0a 代表了 CR 和 LF 的 URL 编码形式。攻击后,日志会误导性地显示:
攻击者通过使恶意活动看起来像是本地主机(通常在服务器环境中受信任的实体)执行了这些操作来掩盖他们的恶意活动。服务器将以%0d%0a开头的查询部分解释为单个参数,而restrictedaction参数被解析为另一个单独的输入。操纵后的查询有效地模仿了一个合法的管理命令:/index.php?page=home&restrictedaction=edit
HTTP响应拆分是一种安全漏洞,当攻击者利用HTTP响应的结构时会出现这种漏洞。这种结构使用特定字符序列将头部与主体分开,即回车(CR)后跟换行(LF),统称为CRLF。如果攻击者成功将CRLF序列插入响应头部,他们可以有效地操纵随后的响应内容。这种操纵可能导致严重的安全问题,尤其是跨站脚本(XSS)。
应用程序设置一个自定义头部,如:X-Custom-Header: UserInput
应用程序从查询参数中获取UserInput的值,比如说"user_input"。在缺乏适当输入验证和编码的情况下,攻击者可以构造一个包含CRLF序列的有效负载。
攻击者使用一个特别设计的'user_input'来构造一个URL:?user_input=Value%0d%0a%0d%0a<script>alert('XSS')</script>
在这个URL中,%0d%0a%0d%0a是CRLFCRLF的URL编码形式。它欺骗服务器插入CRLF序列,使服务器将随后的部分视为响应主体。
服务器在响应头部中反射攻击者的输入,导致意外的响应结构,其中恶意脚本被浏览器解释为响应主体的一部分。
浏览器到:
服务器响应的头部为:
查看更多示例:
HTTP 头注入通常通过 CRLF(回车和换行)注入进行利用,允许攻击者插入 HTTP 头。这可能会破坏安全机制,如 XSS(跨站脚本)过滤器或 SOP(同源策略),潜在地导致对敏感数据的未经授权访问,如 CSRF 令牌,或通过 cookie 注入操纵用户会话。
攻击者可以注入 HTTP 头以启用 CORS(跨域资源共享),绕过 SOP 强加的限制。这种漏洞允许来自恶意来源的脚本与来自不同来源的资源进行交互,潜在地访问受保护的数据。
CRLF 注入可用于构建并注入全新的 HTTP 请求。其中一个显著的示例是 PHP 的 SoapClient 类中的漏洞,特别是 user_agent 参数。通过操纵此参数,攻击者可以插入额外的头部和正文内容,甚至完全注入一个新的 HTTP 请求。以下是演示此利用的 PHP 示例:
您可以注入必要的头部,以确保后端在响应初始请求后保持连接打开:
利用:
恶意前缀注入:这种方法涉及通过指定恶意前缀来毒化下一个用户的请求或Web缓存。示例:
GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/redirplz%20HTTP/1.1%0d%0aHost:%20oastify.com%0d%0a%0d%0aContent-Length:%2050%0d%0a%0d%0a HTTP/1.1
为响应队列毒化制作前缀:这种方法涉及创建一个前缀,当与尾随的垃圾组合时,形成一个完整的第二个请求。这可能触发响应队列毒化。示例:
GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/%20HTTP/1.1%0d%0aFoo:%20bar HTTP/1.1
Memcache是一个使用明文协议的键值存储。更多信息请参阅:
如果平台从HTTP请求中获取数据并在未经过消毒的情况下使用它来执行对memcache服务器的请求,攻击者可以利用这种行为来注入新的memcache命令。
例如,在最初发现的漏洞中,缓存键用于返回用户应连接到的IP和端口,攻击者能够注入memcache命令,这些命令将毒化缓存以将受害者的详细信息(包括用户名和密码)发送到攻击者的服务器:
此外,研究人员还发现他们可以使memcache响应脱节,将攻击者的IP和端口发送给攻击者不知道其电子邮件的用户:
为了减轻Web应用程序中CRLF(回车符和换行符)或HTTP标头注入的风险,建议采取以下策略:
避免在响应标头中直接使用用户输入:最安全的方法是避免直接将用户提供的输入合并到响应标头中。
对特殊字符进行编码:如果无法避免直接使用用户输入,请确保使用专门用于编码特殊字符(如CR(回车符)和LF(换行符))的函数。这种做法可以防止CRLF注入的可能性。
更新编程语言:定期更新Web应用程序中使用的编程语言到最新版本。选择一个在负责设置HTTP标头的函数中固有地禁止CR和LF字符注入的版本。
赏金提示:注册 Intigriti,这是一家由黑客创建的高级赏金计划平台!立即加入我们,访问 ,开始赚取高达**$100,000**的赏金!
给出了一个在管理面板中遵循格式 IP - 时间 - 访问路径 的日志文件条目示例:
来自
其他示例:(来自 )
您可以将有效载荷放在URL路径中,以控制服务器的响应(例如来自)。
有关此技术和潜在问题的更多信息。
之后,可以指定第二个请求。这种情况通常涉及,这是一种技术,服务器在注入后附加的额外标头或主体元素可能导致各种安全漏洞。
阅读完整信息请查看
漏洞赏金提示:注册Intigriti,一个由黑客创建的高级漏洞赏金平台!立即加入我们,访问,开始赚取高达**$100,000**的赏金!
如果您想在HackTricks中看到您的公司广告或下载PDF版本的HackTricks,请查看!
获取
探索,我们的独家
加入 💬 或 或 关注我们的Twitter 🐦 。
通过向和 github仓库提交PR来分享您的黑客技巧。
