实验室:CL.0请求走私
从业者
该实验室容易受到CL.0请求走私攻击的影响。后端服务器忽略了内容长度
标题按照某些端点的要求。
要解决实验室,请确定脆弱的端点,将请求走私到后端,以访问Admin面板/行政
,然后删除用户卡洛斯
。
该实验室基于Portswigger Research发现的现实世界漏洞。beplay官网可以赌有关更多详细信息,请查看浏览器驱动的DESYNC攻击:HTTP请求走私的新边界。
解决方案
探测脆弱的终点
来自代理> HTTP历史记录, 发送得到 /
要求两次打burp burp。
在Burp Repeater中,将这两个标签添加到一个新组中。
转到第一个请求并将其转换为邮政
请求(右键单击并选择更改请求方法)。
在身体中,添加任意请求走私前缀。结果应该看起来像这样:
POST/http/1.1主机:您的lab-id.web-securbeplay体育能用吗ity-academy.net cookie:session =您的session-cookie连接:关闭内容型:应用程序/x-www-form-urlenced content enterge:正确:正确:正确:获取 /希望404 http /1.1 foo:x
改变主路径邮政
请求指向您要测试的任意端点。
使用下拉菜单旁边发送按钮,将发送模式更改为按顺序发送组(单连接)。
更改联系
第一个请求的标题活着
。
发送序列并检查响应。
推断您可以在下面使用静态文件请求/资源
, 如/resources/images/blog.svg
,引起Cl.0 desync。
开发
在Burp Repeater中,将您的走私前缀的路径更改为指向/行政
。
再次按顺序发送请求,并观察到第二个请求已成功访问了管理面板。
走私请求获取 /管理 /删除?用户名= Carlos
请求解决实验室。
post/resources/images/blog.svg http/1.1主机:lab-id.web-securibeplay体育能用吗ty-academy.net cookie:session = your-Session-cookie连接:keep-alive content content Length:正确/admin/admin/删除?用户名= Carlos HTTP/1.1 Foo:X