发布:2019年10月0日在12:54 UTC
更新:3月24日2022年3月24日UTC
上个月我发表了HTTP DESYNC攻击:请求走私重生。从那时起,已经存在一系列新的发展。虽然供应商一直在部署修复和发布建议,但我设计了新的Desync技术揭示了更多系统攻击。我还调整了该工具,使其更容易追捕DWWindling的易受攻击的服务器。在这篇文章中,我会看看新的东西,然后探索如何处理一些普通的戈塔。
Akamai在演示文稿后大约48小时部署了一个修补程序 - 他们的前端服务器网络现在尊重RFC 7230.默认情况下,优先考虑截图传输编码,这意味着使用Akamai的大多数网站不再脆弱。beplay体育能用吗这似乎是一个沉默的修复,没有公共咨询或对漏洞的确认。
F5发布的咨询K50375550对于他们的BIG-IP服务器,他们建议了几个潜在的解决方法,包括配置强化和部署新发布的WAF规则。启用协议合规执行声音,如最可靠的修复。
内森达维森注意到HAProxy无法归集HTTP请求走私者中包含的垂直标签技术,留下像GNUNICORN这样的某些后端服务器接触到攻击。他们将其解决了2.0.6版。当与Gnunicorn配对时,我听到另一台受欢迎的服务器也很脆弱,因此Gnunicorn本身的补丁可能是顺序的。
最后,戈兰出版了CVE-2019-16276对于他们的网/ http库。
当我最初研究了HTTP desync攻击时,我发现了很多易受攻击的服务器,我没有时间探索导致desynchronisation的每个想法,更不用说报告每个漏洞。自从发布以来,我专注于探索新的Desync技术,以确保我上周在OWASP全球Appsec Amsterdam上有一些新鲜内容。
像往常一样,我在扫描管道上尝试了每个Desync想法,以确定实际工作的管道。完全失败的最酷的想法是向我建议的@zriandas.。HTTP标头是ASCII,因此您无法应用Classic Unicode标准化攻击,但您可以在理论上使用扩展ASCII字符,例如:
转移编码:chùked
唉,我找不到做这种正常化的WebServers。beplay体育能用吗如果您对别人无法做出切割的感兴趣,请随意仔细阅读提交日志。
那么,实际上有什么工作?
最初用于旁路WAFS的一些研究可以重新申请全面请求走私攻击。一个成功的攻击来自举行技术Steffen Ullrich的研究绕过ID:
Suricata似乎解释了每种转移编码的价值,甚至是“楚”
您可以使用此诀窍剥削什锦真实系统 - 使用它,确保您获得了最新版本http请求走私者并启用“LazyGrep”技术。
我也使用现有技术的微妙变化取得了成功:
转移编码:\ x00Chunked
最成功的新技术来自索鲁斯·达利利的Waf-Bypass研究,埋藏在电子表格中:
foo:bar \ r \ n\ R.转移编码:Chunced
这种多余的\ r使我能够利用许多有趣的系统,导致16,500美元的奖励 - 并且在谷歌的整个基础架构上令人戏弄地引起了误报(至少,我认为他们是假的误报)。
在原始研究期间,我开发了一种扫描方法http请求走私没有基于超时的启发式毫无危险的其他用户或假阴性的风险。由于基于推断,结果的大约1%是误报。不幸的是,由于真正的漏洞获得修复,而导致误报的服务器行为被忽略,则可以预期这种假阳性率随着时间的推移稳步增加。我在最新版本的HTTP Request Smugguller(v1.02)中我采取了一些步骤来解决这个问题:
一些人报告了对我来说同样的问题 - 他们发现了一个真正的请求走私漏洞,但似乎只能利用自己,并想知道在这种情况下该做什么。
首先,确保Turbo Intruder中的Requestsperconnection设置为1.更高,您将可能导致Turbo入侵者和前端服务器之间的Desync,这是无用的,有效的假阳性。
接下来,回想一下,您只能毒用被路由到同一后端服务器的请求。由于路由可能基于请求cookie,path,方法或任何其他请求属性,因此您应该以与攻击请求近乎相同的“受害者”请求开始,然后更改每个值并依次重试攻击,直到受害者请求类似于其他用户发送的常规GET请求。
如果常规获取请求仍然被毒害,但您无法利用其他用户,或者漏洞只会间歇性地可见,则一个可能性是目标具有多个前端服务器,并且只有其中一些易受攻击。您可以使用BIG和Burp项目选项中的Hostname解析功能探索这种可能性。
最后,前端的连接重用可能与您的IP相关联。要探索这一点,请尝试将受害者请求从不同的IP发送。我亲自使用常规入侵者测试这一点,以及由SSH隧道提供支持的上游袜子代理。除非您设置引擎= Engine.Burp,否则Turbo Intruder忽略代理设置。
如果您发现您真正只能影响自己IP的请求,那么实际的影响仅限于利用同一公司网络上的其他人......或者像我在新遗物上证明的那样直接攻击。
报告发送给PayPal.和纽罗利克现在是公开的,就像是@ memn0ps的漏洞写作。
Regilero刚刚发布一个很好的写作在去年的Apache流量服务器中发现的一些漏洞,其中包括Docker映像来设置自己的易受攻击的环境。一如既往,我建议熟悉一种安全的环境学院实验室在目标实时系统之前。
您也可能对后续帖子感兴趣在HTTP请求走私者上打破链条。
最后,我仍然认为这是一个有希望的进一步研究的主题,因此您可以期望更多的desync技术从自己和其他人抵达,我鼓励每个人都尝试自己的想法。