实验室:HTTP/2请求通过CRLF注射走私
从业者
该实验室很容易受到要求走私的攻击,因为前端服务器降低了HTTP/2请求,并且无法充分消毒来源的标头。
要解决实验室,请使用HTTP/2-排定请求走私向量来访问其他用户的帐户。受害人每15秒访问每15秒的主页。
如果您不熟悉BURP的HTTP/2测试独家功能,请参考文档有关如何使用它们的详细信息。
暗示
要向HTTP/2标头注入新线,请使用检查器向下钻入标题,然后按Shift +返回
钥匙。请注意,当您双击标题时,此功能不可用。
暗示
我们介绍了一些方法,您可以通过在一个中捕获其他用户的请求以前的实验室。
解决方案
在Burp的浏览器中,使用几次实验室的搜索功能,并观察到该网站记录了您最近的搜索历史记录。beplay体育能用吗发送最新邮政 /
请求在重新保存请求之前,请求重复发动机并删除您的会话cookie。请注意,您的搜索历史记录已重置,证实它与您的会话cookie挂钩。
扩展检查员的请求属性部分并将协议更改为HTTP/2。
使用检查员,将任意标头添加到请求中。附加序列\ r \ n
达到标题的价值,然后是转移编码:分块
标题:
姓名
foo
价值
酒吧\ r \ n转移编码:分块
在身体中,尝试将任意前缀走私如下:
0走私
观察您发送的每个请求都会收到404响应,证实您已导致后端附加后续请求
将请求的主体更改为以下内容:
0 POST / http / 1.1主机:您的lab-id.web-sbeplay体育能用吗ecurity-academy.net cookie:session =您的session-cookie content-Length:800 search = x
发送请求,然后立即刷新浏览器中的页面。下一步取决于您收到的响应:
检查最新的搜索列表。如果包含一个得到
请求,这是受害者用户请求的开始,包括他们的会话cookie。如果您看到自己的邮政
请求,您对页面的刷新过早。再试一次,直到您成功偷走了受害者的cookie。
在Burp Repeater中,使用被盗的会话cookie发送本主页的请求来解决实验室。