一、CRLF注入攻击
一、漏洞描述
CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。
二、漏洞原理
1、 CRLF漏洞利用了http协议
2、 修改nginx.conf,在如下图位置添加如下配置,此配置实现了强制跳转的功能,当用户访问nginx服务器时由于此配置的存在会被强制跳转到以https协议访问之前访问的链接。
server{
listen 80;
server_name xss.ason.com;
return 302 https://$host$uri;
}
2、上面的配置的关键利用点由两个:一是配置中的是我们可以控制的这样我们就可以在uri处填入CRLF,然后对服务器进行访问实现头部注入。二是服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。
三、漏洞复现
-
首先请求 https://xss.ason.com/ ,并查看有无cookie
-
构造CRLF注入链接 http://xss.ason.com/%0d%0aSet-Cookie:timor=%20xys 发现成功注入cookie
四、优化http强转htps
使用rewrite实现http强转https
server{
listen 80;
server_name xss.ason.com;
rewrite ^(.*) https://$server_name$1 permanent;
}
再次重复前边复现步骤。发现设置不成功。