Shikata Ga Nai

Private? There is no such things.

HTTP request smuggling, confirming a CL.TE vulnerability via differential responsesをやってみた

Hello there, ('ω')ノ

 

HTTPリクエストスマグリング、差分応答によるCL.TEの脆弱性の確認を。

 

このラボにはフロントエンドサーバとバックエンドサーバーが含まれて。

フロントエンドサーバはチャンクエンコーディングをサポートしていないらしく。

リクエストスマグリングをバックエンドサーバに。

後続のリクエストが / (Webルート)は404 NotFound応答をトリガするとのこと。

 

Content-Length:

 リクエスト本文のサイズ(バイト単位)

 

Transfer-Encoding:

 リクエスト本文がチャンクで送信されるようにチャンクとして指定され。

 (改行で区切られ)

 0はチャンクを終了するために使用されて。

 

まずは、ページにアクセスして。

 

f:id:ThisIsOne:20210413161045p:plain

 

リクエストをリピータへ。

 

f:id:ThisIsOne:20210413161018p:plain

 

下記に入れ替えて、Sendするとエラーが。

Content-Type: application/x-www-form-urlencoded
Content-Length: 35
Transfer-Encoding: chunked

 

0

 

GET /404 HTTP/1.1
X-Ignore: X

 

f:id:ThisIsOne:20210413160726p:plain

 

GETをPOSTに変更してSendして。

 

f:id:ThisIsOne:20210413160803p:plain

 

f:id:ThisIsOne:20210413162039p:plain

 

再度、Sendすると404 NotFoundが返ってきて。

 

f:id:ThisIsOne:20210413160831p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210413160859p:plain

 

Best regards, (^^ゞ