实验室:响应队列中毒通过H2.TE请求走私
从业者
该实验室很容易受到要求走私的影响,因为即使前端服务器的长度模糊,前端服务器也会降低HTTP/2请求。
要解决实验室,请删除用户卡洛斯通过使用响应队列中毒以分解管理面板/行政。管理员用户将大约每15秒登录一次。
每10个请求重置与后端的连接,因此请不要担心如果您将其置于不良状态 - 只需发送一些普通请求即可获得新的连接。
解决方案
使用Burp Repeater,尝试使用块状编码在HTTP/2请求的正文中走私任意前缀,如下所示。记住要扩大检查员的请求属性在发送请求之前,将协议并将协议更改为HTTP/2。
POST / http / 2主机:您的lab-id.web-sbeplay体育能用吗ecurity-academy.net转移编码:分块0走私观察您发送的每个请求都会收到404响应,证实您已导致后端将后续请求附加到走私前缀。
在Burp Repeater中,创建以下请求,该请求将偷运到后端服务器的完整请求。请注意,两个请求中的路径都指向不存在的端点。这意味着您的请求将始终得到404响应。一旦您毒死了响应队列,这将使识别成功捕获的任何其他用户的响应变得更加容易。
post /x http /2主机:您的lab-id.web-sebeplay体育能用吗curity-academy.net转移 - 编码:块0 get /x http /1.1主机:lab-id.web-security-academy.net
笔记
记住通过包括序列来正确终止走私请求\ r \ n \ r \ n之后主持人标题。
发送请求毒害响应队列。您将根据自己的要求收到404回复。
等待大约5秒钟,然后再次发送请求以获取任意响应。在大多数情况下,您将收到自己的404回复。任何其他响应代码表明您已成功捕获了针对管理用户的响应。重复此过程,直到您捕获包含管理员新的Login会话cookie的302响应。
笔记
如果您收到约200条响应,但即使经过大量尝试,也无法捕获302响应,请发送10个普通请求以重置连接并重试。
复制会话cookie并使用它发送以下请求:
get /admin http /2主机:您的lab-id.web-sebeplay体育能用吗curity-academy.net cookie:session =被盗 - session-session-cookie重复发送请求,直到收到包含管理面板的200响应为止。
在响应中,找到删除Carlos的URL(/admin/delete?用户名= carlos),然后相应地更新请求中的路径。发送请求删除Carlos并解决实验室。
