hacktricks/pentesting-web/http-response-smuggling-desync.md

151 lines
11 KiB
Markdown
Raw Normal View History

2022-04-28 23:27:22 +00:00
# HTTP Response Smuggling / Desync
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:03:23 +00:00
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:03:23 +00:00
Altri modi per supportare HackTricks:
2023-12-31 01:25:17 +00:00
2024-02-10 13:03:23 +00:00
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT**](https://opensea.io/collection/the-peass-family) esclusivi
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo Telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>
2024-02-10 13:03:23 +00:00
**La tecnica di questo post è stata presa dal video: [https://www.youtube.com/watch?v=suxDcYViwao\&t=1343s](https://www.youtube.com/watch?v=suxDcYViwao\&t=1343s)**
2024-02-06 03:10:38 +00:00
2024-02-10 13:03:23 +00:00
## Desincronizzazione della coda delle richieste HTTP
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Innanzitutto, questa tecnica **sfrutta una vulnerabilità di Smuggling delle Richieste HTTP**, quindi è necessario sapere cosa sia:
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
La **principale** **differenza** tra questa tecnica e un comune Smuggling delle Richieste HTTP è che, **anziché attaccare la richiesta della vittima aggiungendo un prefisso ad essa**, andremo a **rivelare o modificare la risposta che la vittima riceve**. Ciò viene fatto inviando non solo 1 richiesta e mezza per sfruttare il Smuggling delle Richieste HTTP, ma **inviando 2 richieste complete per desincronizzare la coda delle risposte dei proxy**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Questo perché saremo in grado di **desincronizzare la coda delle risposte** in modo che la **risposta** della **richiesta legittima** della **vittima venga inviata all'attaccante**, o **iniettando contenuti controllati dall'attaccante nella risposta alla vittima**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Desincronizzazione della pipeline HTTP
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
HTTP/1.1 consente di **richiedere risorse diverse senza dover attendere quelle precedenti**. Pertanto, se c'è un **proxy** in mezzo, è compito del proxy **mantenere una corrispondenza sincronizzata delle richieste inviate al backend e delle risposte che arrivano da esso**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Tuttavia, c'è un problema nella desincronizzazione della coda delle risposte. Se un attaccante invia un attacco di Smuggling delle Risposte HTTP e le risposte alla **richiesta iniziale e a quella smugglata vengono risposte immediatamente**, la risposta smugglata non verrà inserita nella coda della risposta della vittima ma verrà **semplicemente scartata come errore**.
2021-11-05 20:59:42 +00:00
2022-03-09 12:12:51 +00:00
![](<../.gitbook/assets/image (635) (1) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Pertanto, è necessario che la **richiesta smugglata richieda più tempo per essere elaborata** all'interno del server di backend. Di conseguenza, quando la richiesta smugglata viene elaborata, la comunicazione con l'attaccante sarà terminata.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Se in questa situazione specifica una **vittima ha inviato una richiesta** e la **richiesta smugglata viene risposta prima** della richiesta legittima, la **risposta smugglata verrà inviata alla vittima**. Pertanto, l'attaccante **controllerà la richiesta "eseguita" dalla vittima**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Inoltre, se l'**attaccante esegue una richiesta** e la **risposta legittima** alla **richiesta della vittima viene risposta prima** della richiesta dell'attaccante. La **risposta alla vittima verrà inviata all'attaccante**, **rubando** la risposta alla vittima (che può contenere ad esempio l'intestazione **Set-Cookie**).
2021-11-05 20:59:42 +00:00
2022-03-09 12:12:51 +00:00
![](<../.gitbook/assets/image (658) (1).png>)
2021-11-05 20:59:42 +00:00
2022-04-22 08:32:18 +00:00
![](<../.gitbook/assets/image (655) (1) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Iniezioni nidificate multiple
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Un'altra **differenza interessante** rispetto al comune **Smuggling delle Richieste HTTP** è che, in un attacco di smuggling comune, l'**obiettivo** è **modificare l'inizio della richiesta della vittima** in modo che esegua un'azione inaspettata. In un attacco di **Smuggling delle Risposte HTTP**, poiché si inviano richieste complete, è possibile **iniettare in un payload decine di risposte** che **desincronizzeranno decine di utenti** che riceveranno le **risposte iniettate**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Oltre a poter **distribuire più facilmente decine di exploit** tra gli utenti legittimi, ciò potrebbe anche essere utilizzato per causare un **DoS** nel server.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Organizzazione dell'exploit
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Come spiegato in precedenza, per sfruttare questa tecnica è necessario che il **primo messaggio smugglato** nel server richieda **molto tempo per essere elaborato**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Questa richiesta **che richiede molto tempo è sufficiente** se si vuole solo **provare a rubare la risposta delle vittime**. Ma se si desidera eseguire un exploit più complesso, questa sarà una struttura comune per l'exploit.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Prima di tutto la **richiesta iniziale** che sfrutta il **Smuggling delle Richieste HTTP**, quindi la **richiesta che richiede molto tempo** e quindi **1 o più richieste di payload** le cui risposte verranno inviate alle vittime.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
## Sfruttare la desincronizzazione della coda delle risposte HTTP
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Catturare le richieste di altri utenti <a href="#capturing-other-users-requests" id="capturing-other-users-requests"></a>
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Come con i payload noti di Smuggling delle Richieste HTTP, è possibile **rubare la richiesta delle vittime** con una differenza importante: in questo caso è sufficiente che il **contenuto inviato venga riflettuto nella risposta**, non è necessario uno storage persistente.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Innanzitutto, l'attaccante invia un payload contenente una **richiesta POST finale con il parametro riflettuto** alla fine e un grande Content-Length
2021-11-05 20:59:42 +00:00
![](<../.gitbook/assets/image (625).png>)
2024-02-10 13:03:23 +00:00
Quindi, una volta che la **richiesta iniziale** (blu) è stata **elaborata** e **mentre** quella **che richiede tempo** viene elaborata (gialla), la **prossima richiesta che arriva da una vittima** verrà **aggiunta nella coda subito dopo il parametro riflettuto**:
2021-11-05 20:59:42 +00:00
2022-03-09 12:12:51 +00:00
![](<../.gitbook/assets/image (634) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Quindi, la **vittima** riceverà la **risposta alla richiesta che richiede tempo** e se nel frattempo l'**attaccante invia un'altra richiesta**, la **risposta dalla richiesta di contenuto riflettuto gli verrà inviata**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
## Desincronizzazione delle risposte
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Fino a questo punto, abbiamo imparato come sfruttare gli attacchi di Smuggling delle Richieste HTTP per **controllare** la **richiesta** di cui un **client riceverà la risposta** e come è possibile **rubare la risposta che era destinata alla vittima**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Ma è ancora possibile **desincronizzare ancora di più le risposte**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Ci sono richieste interessanti come la richiesta **HEAD** che sono specificate per non avere **alcun contenuto nel corpo delle risposte** e che dovrebbero (devono) **contenere la Content-Length** della richiesta come **se fosse una richiesta GET**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Pertanto, se un attaccante **inietta** una richiesta **HEAD**, come in queste immagini:
2021-11-05 20:59:42 +00:00
![](<../.gitbook/assets/image (626).png>)
2024-02-10 13:03:23 +00:00
### Confusione del contenuto
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Seguendo l'esempio precedente, sapendo che puoi **controllare il corpo** della richiesta il cui risposta riceverà la vittima e che una risposta **HEAD** di solito contiene nei suoi header il **Content-Type e il Content-Length**, puoi **inviare una richiesta come quella seguente** per causare XSS nella vittima senza che la pagina sia vulnerabile a XSS:
2021-11-05 20:59:42 +00:00
2022-03-21 17:37:28 +00:00
![](<../.gitbook/assets/image (654) (1) (1) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Avvelenamento della cache
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Sfruttando l'attacco di confusione del contenuto della risposta precedentemente commentato, **se la cache memorizza la risposta alla richiesta effettuata dalla vittima e questa risposta è un'iniezione che causa XSS, allora la cache viene avvelenata**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Richiesta malevola contenente il payload XSS:
2021-11-05 20:59:42 +00:00
2022-03-09 12:12:51 +00:00
![](<../.gitbook/assets/image (644) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Risposta malevola alla vittima che contiene l'header che indica alla cache di memorizzare la risposta:
2021-11-05 20:59:42 +00:00
2022-02-02 15:35:20 +00:00
![](<../.gitbook/assets/image (629) (1).png>)
2021-11-05 20:59:42 +00:00
{% hint style="warning" %}
2024-02-10 13:03:23 +00:00
Nota che in questo caso se la **"vittima" è l'attaccante** può ora eseguire **l'avvelenamento della cache in URL arbitrari** poiché può **controllare l'URL che verrà memorizzato nella cache** con la risposta malevola.
2021-11-05 20:59:42 +00:00
{% endhint %}
2024-02-10 13:03:23 +00:00
### Inganno della cache web
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Questo attacco è simile al precedente, ma **anziché iniettare un payload all'interno della cache, l'attaccante memorizzerà le informazioni della vittima all'interno della cache:**
2021-11-05 20:59:42 +00:00
![](<../.gitbook/assets/image (643) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
### Splitting della risposta
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
L'**obiettivo** di questo attacco è sfruttare nuovamente la **desincronizzazione della risposta** per **far sì che il proxy invii una risposta generata al 100% dall'attaccante**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Per raggiungere questo obiettivo, l'attaccante deve trovare un endpoint dell'applicazione web che **rifletta alcuni valori all'interno della risposta** e **conoscere la lunghezza del contenuto della risposta HEAD**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Invierà un **exploit** come:
2021-11-05 20:59:42 +00:00
2022-04-25 12:04:04 +00:00
![](<../.gitbook/assets/image (649) (1) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Dopo che la prima richiesta viene risolta e inviata all'attaccante, la **richiesta della vittima viene aggiunta alla coda**:
2021-11-05 20:59:42 +00:00
2022-04-05 22:13:36 +00:00
![](<../.gitbook/assets/image (661) (1) (1) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
La vittima riceverà come risposta la **risposta HEAD + il contenuto della risposta della seconda richiesta (contenente parte dei dati riflessi):**
2021-11-05 20:59:42 +00:00
2022-02-19 19:42:58 +00:00
![](<../.gitbook/assets/image (633) (1).png>)
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Tuttavia, nota come i **dati riflessi avevano una dimensione in base al Content-Length** della risposta **HEAD** che **ha generato una risposta HTTP valida nella coda delle risposte**.
2021-11-05 20:59:42 +00:00
2024-02-10 13:03:23 +00:00
Pertanto, la **prossima richiesta della seconda vittima** riceverà come **risposta qualcosa completamente creato dall'attaccante**. Poiché la risposta è completamente creata dall'attaccante, può anche **far memorizzare la risposta al proxy**.
2021-11-05 20:59:42 +00:00
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:03:23 +00:00
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:03:23 +00:00
Altri modi per supportare HackTricks:
2023-12-31 01:25:17 +00:00
2024-02-10 13:03:23 +00:00
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di esclusive [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
2022-04-28 16:01:33 +00:00
</details>