HTTP Request Smuggling / HTTP Desync Attack
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Uthibitisho huu hutokea wakati desyncronization kati ya front-end proxies na back-end server inaruhusu mshambuliaji kutuma HTTP request ambayo itatafsiriwa kama ombile moja na front-end proxies (load balance/reverse-proxy) na kama ombi 2 na back-end server. Hii inaruhusu mtumiaji kubadilisha ombi linalofuata linalofika kwa server ya back-end baada ya lake.
Ikiwa ujumbe unapokelewa ukiwa na uwanja wa kichwa cha Transfer-Encoding na uwanja wa kichwa cha Content-Length, wa mwisho LAZIMA upuuziliwe mbali.
Content-Length
Kichwa cha Content-Length kinadhihirisha ukubwa wa mwili wa kitu, kwa bytes, kilichotumwa kwa mpokeaji.
Transfer-Encoding: chunked
Kichwa cha Transfer-Encoding kinabainisha aina ya usimbuaji inayotumika kwa usalama kuhamasisha mwili wa payload kwa mtumiaji. Chunked inamaanisha kwamba data kubwa inatumwa kwa mfululizo wa vipande
Front-End (load-balance / Reverse Proxy) inasindika content-length au transfer-encoding kichwa na Back-end server inasindika nyingine ikisababisha desyncronization kati ya mifumo 2. Hii inaweza kuwa hatari sana kwani mshambuliaji ataweza kutuma ombi moja kwa reverse proxy ambayo itatafsiriwa na back-end server kama maombi 2 tofauti. Hatari ya mbinu hii inatokana na ukweli kwamba back-end server itaelewa ombile la 2 lililoingizwa kana kwamba lilitoka kwa mteja anayefuata na ombile halisi la mteja huyo litakuwa sehemu ya ombile lililoingizwa.
Kumbuka kwamba katika HTTP herufi mpya ya mstari inaundwa na bytes 2:
Content-Length: Kichwa hiki kinatumia nambari ya desimali kuonyesha idadi ya bytes za mwili wa ombi. Mwili unatarajiwa kumalizika katika herufi ya mwisho, herufi mpya haitahitajika mwishoni mwa ombi.
Transfer-Encoding: Kichwa hiki kinatumia katika mwili nambari ya hexadecimal kuonyesha idadi ya bytes za kipande kinachofuata. Kipande lazima kimalizike na herufi mpya lakini herufi hii mpya haitahesabiwa na kiashiria cha urefu. Mbinu hii ya uhamasishaji lazima ikamilike na kipande cha ukubwa 0 kinachofuatwa na herufi 2 mpya: 0
Connection: Kulingana na uzoefu wangu, inapendekezwa kutumia Connection: keep-alive
kwenye ombi la kwanza la ombi la Smuggling.
Wakati wa kujaribu kutumia hii na Burp Suite zima Update Content-Length
na Normalize HTTP/1 line endings
katika repeater kwa sababu baadhi ya vifaa vinatumia herufi mpya, kurudi kwa gari na maudhui yasiyo sahihi.
HTTP request smuggling attacks zinatengenezwa kwa kutuma maombi yasiyo na uwazi ambayo yanatumia tofauti katika jinsi front-end na back-end servers zinavyotafsiri vichwa vya Content-Length
(CL) na Transfer-Encoding
(TE). Mashambulizi haya yanaweza kuonekana katika aina tofauti, hasa kama CL.TE, TE.CL, na TE.TE. Kila aina inawakilisha mchanganyiko wa kipekee wa jinsi front-end na back-end servers zinavyopendelea vichwa hivi. Uthibitisho unatokana na servers kusindika ombi moja kwa njia tofauti, na kusababisha matokeo yasiyotarajiwa na yanaweza kuwa ya uhalifu.
Katika jedwali la awali unapaswa kuongeza mbinu ya TE.0, kama mbinu ya CL.0 lakini ukitumia Transfer Encoding.
Front-End (CL): Inasindika ombi kulingana na kichwa cha Content-Length
.
Back-End (TE): Inasindika ombi kulingana na kichwa cha Transfer-Encoding
.
Kasi ya Shambulio:
Mshambuliaji anatumia ombi ambapo thamani ya kichwa cha Content-Length
haitosheani na urefu halisi wa maudhui.
Server ya front-end inapeleka ombi lote kwa back-end, kulingana na thamani ya Content-Length
.
Server ya back-end inasindika ombi kama kipande kutokana na kichwa cha Transfer-Encoding: chunked
, ikitafsiri data iliyobaki kama ombi tofauti, linalofuata.
Mfano:
Front-End (TE): Inasindika ombi kulingana na kichwa cha Transfer-Encoding
.
Back-End (CL): Inasindika ombi kulingana na kichwa cha Content-Length
.
Kasi ya Shambulio:
Mshambuliaji anatumia ombi lililosambazwa ambapo ukubwa wa kipande (7b
) na urefu halisi wa maudhui (Content-Length: 4
) havikubaliani.
Server ya front-end, ikiheshimu Transfer-Encoding
, inapeleka ombi lote kwa back-end.
Server ya back-end, ikiheshimu Content-Length
, inasindika tu sehemu ya awali ya ombi (7b
bytes), ikiacha iliyobaki kama sehemu ya ombi linalofuata lisilotarajiwa.
Mfano:
Servers: Zote zinasaidia Transfer-Encoding
, lakini moja inaweza kudanganywa kuipuuza kupitia obfuscation.
Kasi ya Shambulio:
Mshambuliaji anatumia ombi lenye vichwa vya Transfer-Encoding
vilivyojificha.
Kulingana na server ipi (front-end au back-end) inashindwa kutambua obfuscation, udhaifu wa CL.TE au TE.CL unaweza kutumika.
Sehemu isiyosindikwa ya ombi, kama inavyoonekana na moja ya servers, inakuwa sehemu ya ombi linalofuata, ikisababisha smuggling.
Mfano:
Servers zote zinashughulikia ombi kulingana na kichwa cha Content-Length
pekee.
Hali hii kwa kawaida haipelekei smuggling, kwani kuna ulinganifu katika jinsi servers zote zinavyotafsiri urefu wa ombi.
Mfano:
Inarejelea hali ambapo kichwa cha Content-Length
kinapatikana na kina thamani isiyo sifuri, ikionyesha kwamba mwili wa ombi una maudhui. Back-end inapuuzilia mbali kichwa cha Content-Length
(ambacho kinachukuliwa kama 0), lakini front-end inakisoma.
Ni muhimu katika kuelewa na kutengeneza mashambulizi ya smuggling, kwani inaathiri jinsi servers zinavyotambua mwisho wa ombi.
Mfano:
Kama ile ya awali lakini ikitumia TE
Mbinu iliyorekodiwa hapa
Mfano:
Teknolojia hii pia ni muhimu katika hali ambapo inawezekana kuvunja seva ya wavuti wakati wa kusoma data ya awali ya HTTP lakini bila kufunga muunganisho. Kwa njia hii, mwili wa ombi la HTTP utaonekana kama ombio la HTTP linalofuata.
Kwa mfano, kama ilivyoelezwa katika hiki andiko, Katika Werkzeug ilikuwa inawezekana kutuma baadhi ya Unicode wahusika na itafanya seva ivunje. Hata hivyo, ikiwa muunganisho wa HTTP ulianzishwa na kichwa Connection: keep-alive
, mwili wa ombi hautasomwa na muunganisho utaendelea kuwa wazi, hivyo mwili wa ombi utaonekana kama ombio la HTTP linalofuata.
Kutatiza vichwa vya hop-by-hop unaweza kuonyesha proxy kufuta kichwa cha Content-Length au Transfer-Encoding ili ombi la HTTP smuggling liweze kutumika vibaya.
For maelezo zaidi kuhusu hop-by-hop headers tembelea:
hop-by-hop headersKutambua udhaifu wa HTTP request smuggling mara nyingi kunaweza kufanywa kwa kutumia mbinu za wakati, ambazo zinategemea kuangalia ni muda gani inachukua kwa seva kujibu maombi yaliyobadilishwa. Mbinu hizi ni muhimu hasa katika kugundua udhaifu wa CL.TE na TE.CL. Mbali na mbinu hizi, kuna mikakati na zana nyingine ambazo zinaweza kutumika kupata udhaifu kama huo:
Mbinu:
Tuma ombi ambalo, ikiwa programu ina udhaifu, litasababisha seva ya nyuma kusubiri data zaidi.
Mfano:
Uchunguzi:
Seva ya mbele inashughulikia ombi kulingana na Content-Length
na kukata ujumbe mapema.
Seva ya nyuma, ikitarajia ujumbe wa chunked, inasubiri chunk inayofuata ambayo haitafika, ikisababisha kuchelewesha.
Dalili:
Timeout au ucheleweshaji mrefu katika majibu.
Kupokea kosa la 400 Bad Request kutoka kwa seva ya nyuma, wakati mwingine ikiwa na maelezo ya kina ya seva.
Mbinu:
Tuma ombi ambalo, ikiwa programu ina udhaifu, litasababisha seva ya nyuma kusubiri data zaidi.
Mfano:
Uchunguzi:
Seva ya mbele inashughulikia ombi kulingana na Transfer-Encoding
na inapeleka ujumbe mzima.
Seva ya nyuma, ikitarajia ujumbe kulingana na Content-Length
, inasubiri data zaidi ambayo haitafika, ikisababisha kuchelewesha.
Uchambuzi wa Majibu Tofauti:
Tuma toleo lililobadilishwa kidogo la ombi na uangalie ikiwa majibu ya seva yanatofautiana kwa njia isiyotarajiwa, ikionyesha tofauti ya uchambuzi.
Kutumia Zana za Kiotomatiki:
Zana kama vile Burp Suite's 'HTTP Request Smuggler' nyongeza zinaweza kujaribu kiotomatiki udhaifu hizi kwa kutuma aina mbalimbali za maombi yasiyo na uwazi na kuchambua majibu.
Majaribio ya Tofauti za Content-Length:
Tuma maombi yenye thamani tofauti za Content-Length
ambazo hazilingani na urefu halisi wa maudhui na uangalie jinsi seva inavyoshughulikia tofauti hizo.
Majaribio ya Tofauti za Transfer-Encoding:
Tuma maombi yenye vichwa vya Transfer-Encoding
vilivyofichwa au visivyo sahihi na uangalie jinsi seva za mbele na za nyuma zinavyoshughulikia mabadiliko kama hayo.
Baada ya kuthibitisha ufanisi wa mbinu za wakati, ni muhimu kuthibitisha ikiwa maombi ya mteja yanaweza kubadilishwa. Mbinu rahisi ni kujaribu kuharibu maombi yako, kwa mfano, kufanya ombi kwa /
kuleta jibu la 404. Mifano ya CL.TE
na TE.CL
zilizozungumziwa hapo awali katika Mifano ya Msingi zinaonyesha jinsi ya kuharibu ombi la mteja ili kuleta jibu la 404, licha ya mteja kutaka kufikia rasilimali tofauti.
Mambo Muhimu ya Kuangalia
Wakati wa kupima udhaifu wa request smuggling kwa kuingilia maombi mengine, kumbuka:
Mawasiliano Tofauti ya Mtandao: "Shambulio" na "maombi ya kawaida" yanapaswa kutumwa kupitia mawasiliano tofauti ya mtandao. Kutumia muunganisho mmoja kwa yote mawili hakuthibitishi uwepo wa udhaifu.
URL na Vigezo Vinavyolingana: Jaribu kutumia URLs na majina ya vigezo sawa kwa maombi yote mawili. Programu za kisasa mara nyingi hupeleka maombi kwa seva maalum za nyuma kulingana na URL na vigezo. Kulinganisha haya kunapanua uwezekano kwamba maombi yote mawili yanashughulikiwa na seva moja, ambayo ni sharti la shambulio lililofanikiwa.
Muda na Masharti ya Mbio: Ombi la "kawaida", lililokusudiwa kugundua kuingilia kutoka kwa ombi la "shambulio", linashindana na maombi mengine ya programu yanayoendelea. Kwa hivyo, tuma ombi la "kawaida" mara moja baada ya ombi la "shambulio". Programu zenye shughuli nyingi zinaweza kuhitaji majaribio kadhaa kwa uthibitisho wa udhaifu.
Changamoto za Usambazaji wa Mizigo: Seva za mbele zinazofanya kazi kama wasambazaji wa mizigo zinaweza kugawa maombi kati ya mifumo mbalimbali ya nyuma. Ikiwa maombi ya "shambulio" na "kawaida" yanakutana kwenye mifumo tofauti, shambulio halitafanikiwa. Kipengele hiki cha usambazaji wa mizigo kinaweza kuhitaji majaribio kadhaa kuthibitisha udhaifu.
Athari zisizokusudiwa kwa Watumiaji: Ikiwa shambulio lako kwa bahati mbaya linaathiri ombi la mtumiaji mwingine (sio ombi la "kawaida" ulilotuma kwa ajili ya kugundua), hii inaonyesha kuwa shambulio lako limeathiri mtumiaji mwingine wa programu. Kujaribu mara kwa mara kunaweza kuharibu watumiaji wengine, hivyo inahitaji mbinu ya tahadhari.
Wakati mwingine, proxies za mbele zinaweka hatua za usalama, zikichunguza maombi yanayoingia. Hata hivyo, hatua hizi zinaweza kupitishwa kwa kutumia HTTP Request Smuggling, kuruhusu ufikiaji usioidhinishwa kwa maeneo yaliyopigwa marufuku. Kwa mfano, kufikia /admin
kunaweza kuwa marufuku nje, huku proxy ya mbele ikizuia juhudi kama hizo. Hata hivyo, proxy hii inaweza kukosa kukagua maombi yaliyojumuishwa ndani ya ombi la HTTP lililosafirishwa, ikiacha pengo la kupita marufuku hizi.
Fikiria mifano ifuatayo inayoonyesha jinsi HTTP Request Smuggling inaweza kutumika kupita udhibiti wa usalama wa mbele, hasa ikilenga njia ya /admin
ambayo kwa kawaida inalindwa na proxy ya mbele:
Mfano wa CL.TE
Katika shambulio la CL.TE, kichwa cha Content-Length
kinatumika kwa ombi la awali, wakati ombi lililoingizwa linatumia kichwa cha Transfer-Encoding: chunked
. Proxy ya mbele inashughulikia ombi la awali la POST
lakini inashindwa kukagua ombi lililoingizwa la GET /admin
, ikiruhusu ufikiaji usioidhinishwa wa njia ya /admin
.
TE.CL Mfano
Kinyume chake, katika shambulio la TE.CL, ombi la awali la POST
linatumia Transfer-Encoding: chunked
, na ombi lililoingizwa linasindika kulingana na kichwa cha Content-Length
. Kama ilivyo katika shambulio la CL.TE, proxy ya mbele inapuuzilia mbali ombi la GET /admin
lililosafirishwa, bila kukusudia ikitoa ufikiaji kwa njia iliyo na vizuizi ya /admin
.
Programu mara nyingi hutumia seva ya mbele kubadilisha maombi yanayoingia kabla ya kuyapeleka kwa seva ya nyuma. Marekebisho ya kawaida yanajumuisha kuongeza vichwa, kama vile X-Forwarded-For: <IP ya mteja>
, ili kupeleka IP ya mteja kwa seva ya nyuma. Kuelewa marekebisho haya kunaweza kuwa muhimu, kwani kunaweza kufichua njia za kuzidi kulinda au kufichua taarifa au maeneo yaliyofichwa.
Ili kuchunguza jinsi proxy inavyobadilisha ombi, pata parameter ya POST ambayo seva ya nyuma inarudisha katika jibu. Kisha, tengeneza ombi, ukitumia parameter hii mwisho, kama ifuatavyo:
Katika muundo huu, vipengele vya ombi vinavyofuata vinatolewa baada ya search=
, ambayo ni parameter inayojitokeza katika jibu. Hii itafichua vichwa vya ombi la baadaye.
Ni muhimu kulinganisha kichwa cha Content-Length
cha ombi lililozungukwa na urefu halisi wa maudhui. Kuanzia na thamani ndogo na kuongeza taratibu inashauriwa, kwani thamani ya chini sana itakata data iliyojitokeza, wakati thamani ya juu sana inaweza kusababisha ombi kufeli.
Teknolojia hii pia inatumika katika muktadha wa udhaifu wa TE.CL, lakini ombi linapaswa kumalizika na search=\r\n0
. Bila kujali wahusika wa newline, thamani zitajumuishwa kwenye parameter ya utafutaji.
Njia hii hasa inatumika kuelewa mabadiliko ya ombi yaliyofanywa na proxy ya mbele, kimsingi ikifanya uchunguzi wa kujiongoza.
Ni rahisi kukamata ombi za mtumiaji anayefuata kwa kuongeza ombi maalum kama thamani ya parameter wakati wa operesheni ya POST. Hapa kuna jinsi hii inaweza kufanywa:
Kwa kuongeza ombi lifuatalo kama thamani ya parameter, unaweza kuhifadhi ombi la mteja anayefuata:
Katika hali hii, parameta ya maoni inakusudia kuhifadhi maudhui ndani ya sehemu ya maoni ya chapisho kwenye ukurasa unaopatikana kwa umma. Kwa hivyo, maudhui ya ombi linalofuata yataonekana kama maoni.
Hata hivyo, mbinu hii ina mipaka. Kwa ujumla, inakamata data tu hadi kwenye kipimo cha parameta kilichotumika katika ombi lililosafirishwa. Kwa uwasilishaji wa fomu iliyohifadhiwa kwenye URL, kipimo hiki ni herufi &
. Hii ina maana kwamba maudhui yaliyokamatwa kutoka kwa ombi la mtumiaji waathirika yatakoma kwenye &
ya kwanza, ambayo inaweza hata kuwa sehemu ya mfuatano wa swali.
Zaidi ya hayo, inafaa kutaja kwamba mbinu hii pia inapatikana na udhaifu wa TE.CL. Katika hali kama hizo, ombi linapaswa kumalizika na search=\r\n0
. Bila kujali wahusika wa mstari mpya, thamani zitajumuishwa kwenye parameta ya utafutaji.
HTTP Request Smuggling inaweza kutumika kutekeleza kurasa za wavuti zilizo hatarini kwa Reflected XSS, ikitoa faida kubwa:
Maingiliano na watumiaji wa lengo hayahitajiki.
Inaruhusu matumizi ya XSS katika sehemu za ombi ambazo kwa kawaida hazipatikani, kama vichwa vya ombi la HTTP.
Katika hali ambapo tovuti inakabiliwa na Reflected XSS kupitia kichwa cha User-Agent, mzigo ufuatao unaonyesha jinsi ya kutumia udhaifu huu:
This payload is structured to exploit the vulnerability by:
Kuanzisha ombi la POST
, ambalo linaonekana kuwa la kawaida, lenye kichwa cha Transfer-Encoding: chunked
kuashiria mwanzo wa smuggling.
Kufuatia na 0
, ikionyesha mwisho wa ujumbe wa chunked.
Kisha, ombi la smuggling GET
linaanzishwa, ambapo kichwa cha User-Agent
kinatolewa na script, <script>alert(1)</script>
, ikichochea XSS wakati seva inashughulikia ombi hili linalofuata.
Kwa kubadilisha User-Agent
kupitia smuggling, payload inakwepa vikwazo vya kawaida vya ombi, hivyo inatumia udhaifu wa Reflected XSS kwa njia isiyo ya kawaida lakini yenye ufanisi.
Katika kesi ambapo maudhui ya mtumiaji yanarejelewa katika jibu lenye Content-type
kama text/plain
, kuzuia utekelezaji wa XSS. Ikiwa seva inasaidia HTTP/0.9 inaweza kuwa inawezekana kupita hii!
Toleo la HTTP/0.9 lilikuwa kabla ya 1.0 na linatumia tu GET verbs na halijibu na headers, bali tu mwili.
Katika hii andiko, hii ilitumiwa vibaya na smuggling ya ombi na nukta ya hatari ambayo itajibu na maudhui ya mtumiaji ili kusmuggle ombi na HTTP/0.9. Kigezo ambacho kitarejelewa katika jibu kilikuwa na jibu bandia la HTTP/1.1 (pamoja na headers na mwili) hivyo jibu litakuwa na msimbo wa JS unaoweza kutekelezwa kwa Content-Type
ya text/html
.
Mifumo mara nyingi hupeleka kutoka URL moja hadi nyingine kwa kutumia jina la mwenyeji kutoka kichwa cha Host
katika URL ya kupeleka. Hii ni ya kawaida na seva za wavuti kama Apache na IIS. Kwa mfano, kuomba folda bila slash ya mwisho kunasababisha kupelekwa kuhusisha slash:
Matokeo katika:
Ingawa inaonekana haina madhara, tabia hii inaweza kudhibitiwa kwa kutumia HTTP request smuggling ili kuwahamisha watumiaji kwenye tovuti ya nje. Kwa mfano:
Hii ombi lililosafirishwa linaweza kusababisha ombi la mtumiaji linalofuatia kushughulikiwa kuhamasishwa kwenye tovuti inayodhibitiwa na mshambuliaji:
Matokeo katika:
Katika hali hii, ombi la mtumiaji la faili la JavaScript linachukuliwa. Mshambuliaji anaweza kuathiri mtumiaji kwa kutoa JavaScript mbaya kama jibu.
Upoisonaji wa kivinjari cha mtandao unaweza kutekelezwa ikiwa sehemu yoyote ya miundombinu ya mbele inahifadhi maudhui, kawaida ili kuboresha utendaji. Kwa kubadilisha jibu la seva, inawezekana kuponya kivinjari.
Awali, tuliona jinsi majibu ya seva yanaweza kubadilishwa ili kurudisha kosa la 404 (rejelea Mifano ya Msingi). Vivyo hivyo, inawezekana kudanganya seva kutoa maudhui ya /index.html
kama jibu la ombi la /static/include.js
. Kwa hivyo, maudhui ya /static/include.js
yanabadilishwa katika kivinjari na yale ya /index.html
, na kufanya /static/include.js
isiweze kupatikana kwa watumiaji, ambayo inaweza kusababisha Denial of Service (DoS).
Teknolojia hii inakuwa na nguvu hasa ikiwa kuna udhaifu wa Open Redirect ulio gundulika au ikiwa kuna mwelekeo wa ndani kwa mwelekeo wazi. Udhaifu kama huu unaweza kutumiwa kubadilisha maudhui yaliyohifadhiwa ya /static/include.js
na script chini ya udhibiti wa mshambuliaji, kwa msingi inaruhusu shambulio la Cross-Site Scripting (XSS) dhidi ya wateja wote wanaotafuta /static/include.js
iliyosasishwa.
Hapa chini kuna mfano wa kutumia upoisonaji wa kivinjari pamoja na mwelekeo wa ndani kwa mwelekeo wazi. Lengo ni kubadilisha maudhui ya kivinjari ya /static/include.js
ili kutoa msimbo wa JavaScript unaodhibitiwa na mshambuliaji:
Note the embedded request targeting /post/next?postId=3
. This request will be redirected to /post?postId=4
, utilizing the Host header value to determine the domain. By altering the Host header, the attacker can redirect the request to their domain (on-site redirect to open redirect).
After successful socket poisoning, a GET request for /static/include.js
should be initiated. This request will be contaminated by the prior on-site redirect to open redirect request and fetch the content of the script controlled by the attacker.
Subsequently, any request for /static/include.js
will serve the cached content of the attacker's script, effectively launching a broad XSS attack.
What is the difference between web cache poisoning and web cache deception?
In web cache poisoning, the attacker causes the application to store some malicious content in the cache, and this content is served from the cache to other application users.
In web cache deception, the attacker causes the application to store some sensitive content belonging to another user in the cache, and the attacker then retrieves this content from the cache.
Mshambuliaji anaunda ombi lililofichwa ambalo linapata maudhui nyeti ya mtumiaji. Fikiria mfano ufuatao:
Ikiwa ombi hili lililosafirishwa linachafua kipengee cha cache kilichokusudiwa kwa maudhui ya statiki (mfano, /someimage.png
), data nyeti za mwathirika kutoka /private/messages
zinaweza kuhifadhiwa chini ya kipengee cha cache cha maudhui ya statiki. Kwa hivyo, mshambuliaji anaweza kupata data hizi nyeti zilizohifadhiwa.
Katika chapisho hili inapendekezwa kwamba ikiwa seva ina njia ya TRACE iliyoanzishwa inaweza kuwa inawezekana kuitumia vibaya na HTTP Request Smuggling. Hii ni kwa sababu njia hii itarudisha kichwa chochote kilichotumwa kwa seva kama sehemu ya mwili wa jibu. Kwa mfano:
Nitapeleka jibu kama:
An example on how to abuse this behaviour would be to smuggle first a HEAD request. This request will be responded with only the headers of a GET request (Content-Type
among them). And smuggle immediately after the HEAD a TRACE request, which will be reflecting the sent data.
As the HEAD response will be containing a Content-Length
header, the response of the TRACE request will be treated as the body of the HEAD response, therefore reflecting arbitrary data in the response.
This response will be sent to the next request over the connection, so this could be used in a cached JS file for example to inject arbitrary JS code.
Continue following this post is suggested another way to abuse the TRACE method. As commented, smuggling a HEAD request and a TRACE request it's possible to control some reflected data in the response to the HEAD request. The length of the body of the HEAD request is basically indicated in the Content-Length header and is formed by the response to the TRACE request.
Therefore, the new idea would be that, knowing this Content-Length and the data given in the TRACE response, it's possible to make the TRACE response contains a valid HTTP response after the last byte of the Content-Length, allowing an attacker to completely control the request to the next response (which could be used to perform a cache poisoning).
Example:
Itazalisha majibu haya (zingatia jinsi jibu la HEAD lina Content-Length ikifanya jibu la TRACE kuwa sehemu ya mwili wa HEAD na mara tu Content-Length ya HEAD inapoisha, jibu halali la HTTP linapaswa kuingizwa):
Je, umepata udhaifu wa HTTP Request Smuggling na hujui jinsi ya kuutumia. Jaribu njia hizi nyingine za kutumia:
HTTP Response Smuggling / DesyncBrowser HTTP Request Smuggling (Upande wa Mteja)
Request Smuggling katika HTTP/2 Downgrades
Kutoka https://hipotermia.pw/bb/http-desync-idor
Kutoka: https://hipotermia.pw/bb/http-desync-account-takeover
https://github.com/bahruzjabiyev/t-reqs-http-fuzzer: Chombo hiki ni Fuzzer ya HTTP inayotumia sarufi ambayo ni muhimu kutafuta tofauti za ajabu za kuhamasisha maombi.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)