HTTP Response Smuggling / Desync
इस पोस्ट की तकनीक वीडियो से ली गई थी: https://www.youtube.com/watch?v=suxDcYViwao&t=1343s
HTTP Request Queue Desynchronisation
सबसे पहले, यह तकनीक HTTP Request Smuggling भेद्यता का दुरुपयोग करती है, इसलिए आपको यह जानना आवश्यक है कि यह क्या है:
इस तकनीक और सामान्य HTTP Request smuggling के बीच का मुख्य अंतर यह है कि हम पीड़ित के अनुरोध को उसमें एक उपसर्ग जोड़कर हमला करने के बजाय, हम पीड़ित द्वारा प्राप्त प्रतिक्रिया को लीक या संशोधित करने जा रहे हैं। यह इस प्रकार किया जाता है, कि HTTP Request smuggling का दुरुपयोग करने के लिए 1 और आधा अनुरोध भेजने के बजाय, प्रॉक्सी प्रतिक्रियाओं की कतार को असंक्रमित करने के लिए 2 पूर्ण अनुरोध भेजें।
यह इसलिए है क्योंकि हम प्रतिक्रिया कतार को असंक्रमित करने में सक्षम होंगे ताकि पीड़ित के वैध अनुरोध से प्रतिक्रिया हमलावर को भेजी जाए, या पीड़ित की प्रतिक्रिया में हमलावर द्वारा नियंत्रित सामग्री को इंजेक्ट करके।
HTTP Pipeline Desync
HTTP/1.1 पिछले अनुरोधों के लिए इंतजार किए बिना विभिन्न संसाधनों के लिए पूछने की अनुमति देता है। इसलिए, यदि बीच में एक प्रॉक्सी है, तो यह प्रॉक्सी का कार्य है कि वह बैकएंड को भेजे गए अनुरोधों और उससे आने वाली प्रतिक्रियाओं का एक समन्वयित मिलान बनाए रखे।
हालांकि, प्रतिक्रियाओं की कतार को असंक्रमित करने में एक समस्या है। यदि एक हमलावर एक HTTP Response smuggling हमला भेजता है और प्रारंभिक अनुरोध और स्मगल्ड एक के लिए प्रतिक्रियाएं तुरंत दी जाती हैं, तो स्मगल्ड प्रतिक्रिया पीड़ित की प्रतिक्रिया की कतार में नहीं डाली जाएगी बल्कि केवल एक त्रुटि के रूप में अस्वीकार कर दी जाएगी।
इसलिए, यह आवश्यक है कि स्मगल्ड अनुरोध प्रसंस्करण में अधिक समय ले। इसलिए, जब तक स्मगल्ड अनुरोध संसाधित होता है, तब तक हमलावर के साथ संचार समाप्त हो जाएगा।
यदि इस विशेष स्थिति में एक पीड़ित ने एक अनुरोध भेजा और स्मगल्ड अनुरोध का उत्तर पहले वैध अनुरोध से दिया गया, तो स्मगल्ड प्रतिक्रिया पीड़ित को भेजी जाएगी। इसलिए, हमलावर पीड़ित द्वारा "प्रदर्शित" अनुरोध को नियंत्रित करेगा।
इसके अलावा, यदि हमलावर फिर एक अनुरोध करता है और पीड़ित के अनुरोध का वैध उत्तर हमलावर के अनुरोध से पहले उत्तर दिया जाता है। पीड़ित के लिए प्रतिक्रिया हमलावर को भेजी जाएगी, पीड़ित की प्रतिक्रिया को चुराते हुए (जिसमें उदाहरण के लिए Set-Cookie हेडर हो सकता है)।
Multiple Nested Injections
सामान्य HTTP Request Smuggling के साथ एक और दिलचस्प अंतर यह है कि, एक सामान्य स्मगलिंग हमले में, लक्ष्य पीड़ित के अनुरोध की शुरुआत को संशोधित करना है ताकि यह एक अप्रत्याशित क्रिया करे। एक HTTP Response smuggling हमले में, चूंकि आप पूर्ण अनुरोध भेज रहे हैं, आप एक पेलोड में दर्जनों प्रतिक्रियाएं इंजेक्ट कर सकते हैं जो दर्जनों उपयोगकर्ताओं को असंक्रमित कर रही होंगी जो इंजेक्ट की गई प्रतिक्रियाएं प्राप्त कर रहे हैं।
इसके अलावा, वैध उपयोगकर्ताओं के बीच दर्जनों शोषणों को अधिक आसानी से वितरित करने में सक्षम होने के अलावा, इसका उपयोग सर्वर में DoS उत्पन्न करने के लिए भी किया जा सकता है।
Exploit Organisation
जैसा कि पहले समझाया गया है, इस तकनीक का दुरुपयोग करने के लिए, यह आवश्यक है कि सर्वर में पहला स्मगल्ड संदेश प्रसंस्करण में बहुत अधिक समय ले।
यदि हम केवल पीड़ित की प्रतिक्रिया चुराने की कोशिश करना चाहते हैं तो यह समय लेने वाला अनुरोध पर्याप्त है। लेकिन यदि आप एक अधिक जटिल शोषण करना चाहते हैं तो यह शोषण के लिए एक सामान्य संरचना होगी।
सबसे पहले HTTP Request smuggling का दुरुपयोग करते हुए प्रारंभिक अनुरोध, फिर समय लेने वाला अनुरोध और फिर 1 या अधिक पेलोड अनुरोध जिनकी प्रतिक्रियाएं पीड़ितों को भेजी जाएंगी।
Abusing HTTP Response Queue Desynchronisation
Capturing other users' requests
HTTP Request Smuggling ज्ञात पेलोड के साथ, आप पीड़ित के अनुरोध को चुरा सकते हैं जिसमें एक महत्वपूर्ण अंतर है: इस मामले में आपको केवल प्रतिक्रिया में परावर्तित सामग्री भेजने की आवश्यकता है, कोई स्थायी भंडारण आवश्यक नहीं है।
सबसे पहले, हमलावर एक पेलोड भेजता है जिसमें परावर्तित पैरामीटर के साथ एक अंतिम POST अनुरोध होता है और एक बड़ा Content-Length होता है।
फिर, एक बार जब प्रारंभिक अनुरोध (नीला) प्रसंस्कृत हो जाता है और जब नींद वाला एक संसाधित हो रहा है (पीला) तो एक पीड़ित से आने वाला अगला अनुरोध परावर्तित पैरामीटर के ठीक बाद कतार में जोड़ा जाएगा:
फिर, पीड़ित नींद वाले अनुरोध का उत्तर प्राप्त करेगा और यदि इस बीच हमलावर ने एक और अनुरोध भेजा, तो परावर्तित सामग्री अनुरोध से प्रतिक्रिया उसे भेजी जाएगी।
Response Desynchronisation
अब तक, हमने सीखा है कि HTTP Request Smuggling हमलों का दुरुपयोग कैसे किया जाए ताकि अनुरोध जिसकी प्रतिक्रिया एक क्लाइंट को प्राप्त होने वाली है और आप फिर पीड़ित के लिए निर्धारित प्रतिक्रिया को चुरा सकते हैं।
लेकिन यह अभी भी संभव है कि प्रतिक्रियाओं को और भी अधिक असंक्रमित किया जाए।
कुछ दिलचस्प अनुरोध हैं जैसे HEAD अनुरोध जो निर्दिष्ट करते हैं कि प्रतिक्रिया के शरीर में कोई सामग्री नहीं होनी चाहिए और जो अनुरोध के Content-Length को GET अनुरोध की तरह शामिल करना चाहिए।
इसलिए, यदि एक हमलावर HEAD अनुरोध इंजेक्ट करता है, जैसे कि इन छवियों में:
फिर, जब नीला उत्तर हमलावर को दिया जाता है, अगला पीड़ित का अनुरोध कतार में पेश किया जाएगा:
फिर, पीड़ित HEAD अनुरोध से प्रतिक्रिया प्राप्त करेगा, जो एक Content-Length शामिल करेगा लेकिन कोई सामग्री नहीं होगी। इसलिए, प्रॉक्सी इस प्रतिक्रिया को पीड़ित को नहीं भेजेगा, बल्कि कुछ सामग्री की प्रतीक्षा करेगा, जो वास्तव में पीले अनुरोध की प्रतिक्रिया होगी (जो हमलावर द्वारा भी इंजेक्ट की गई थी):
Content Confusion
पिछले उदाहरण का अनुसरण करते हुए, यह जानते हुए कि आप उस अनुरोध के शरीर को नियंत्रित कर सकते हैं जिसकी प्रतिक्रिया पीड़ित को प्राप्त होने वाली है और कि एक HEAD प्रतिक्रिया आमतौर पर अपने हेडर में Content-Type और Content-Length शामिल करती है, आप निम्नलिखित अनुरोध भेज सकते हैं ताकि पीड़ित में XSS उत्पन्न हो बिना कि पृष्ठ XSS के लिए संवेदनशील हो:
Cache Poisoning
पहले टिप्पणी की गई प्रतिक्रिया असंक्रमण सामग्री भ्रम हमले का दुरुपयोग करते हुए, यदि कैश पीड़ित द्वारा किए गए अनुरोध की प्रतिक्रिया को संग्रहीत करता है और यह प्रतिक्रिया एक इंजेक्ट की गई है जो XSS उत्पन्न कर रही है, तो कैश विषाक्त हो जाता है।
XSS पेलोड वाले दुर्भावनापूर्ण अनुरोध:
पीड़ित के लिए दुर्भावनापूर्ण प्रतिक्रिया जो कैश को प्रतिक्रिया संग्रहीत करने के लिए संकेत देती है:
ध्यान दें कि इस मामले में यदि "पीड़ित" हमलावर है तो वह अब मनमाने URL में कैश विषाक्तता कर सकता है क्योंकि वह दुर्भावनापूर्ण प्रतिक्रिया के साथ कैश होने वाले URL को नियंत्रित कर सकता है।
Web Cache Deception
यह हमला पिछले वाले के समान है, लेकिन कैश के अंदर एक पेलोड इंजेक्ट करने के बजाय, हमलावर पीड़ित की जानकारी को कैश के अंदर संग्रहीत करेगा:
Response Splitting
इस हमले का लक्ष्य फिर से प्रतिक्रिया असंक्रमण का दुरुपयोग करना है ताकि प्रॉक्सी 100% हमलावर द्वारा उत्पन्न प्रतिक्रिया भेजे।
इस लक्ष्य को प्राप्त करने के लिए, हमलावर को एक वेब एप्लिकेशन के उस एंडपॉइंट को खोजने की आवश्यकता है जो प्रतिक्रिया के अंदर कुछ मानों को परावर्तित कर रहा है और HEAD प्रतिक्रिया की सामग्री की लंबाई को जानता है।
वह एक शोषण भेजेगा जैसे:
पहले अनुरोध के हल होने और हमलावर को वापस भेजे जाने के बाद, पीड़ित का अनुरोध कतार में जोड़ा जाएगा:
पीड़ित को HEAD प्रतिक्रिया + दूसरे अनुरोध की प्रतिक्रिया की सामग्री (परावर्तित डेटा का एक भाग शामिल) के रूप में प्रतिक्रिया प्राप्त होगी:
हालांकि, ध्यान दें कि परावर्तित डेटा का आकार HEAD प्रतिक्रिया की Content-Length के अनुसार था जिसने प्रतिक्रिया कतार में एक वैध HTTP प्रतिक्रिया उत्पन्न की।
इसलिए, दूसरे पीड़ित का अगला अनुरोध कुछ पूरी तरह से हमलावर द्वारा तैयार की गई प्रतिक्रिया प्राप्त करेगा। चूंकि प्रतिक्रिया पूरी तरह से हमलावर द्वारा तैयार की गई है, वह प्रॉक्सी को प्रतिक्रिया को कैश करने के लिए भी बना सकता है।
Last updated