<summary><strong>Nauka hakowania AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
**Wskazówka dotycząca nagrody za błąd**: **Zarejestruj się** na platformie **Intigriti**, premium **platformie nagród za błędy stworzonej przez hakerów, dla hakerów**! Dołącz do nas na [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody aż do **$100,000**!
Wstrzyknięcie powrotu karetki (CR) i znaku nowej linii (LF), znanych łącznie jako CRLF, to specjalne sekwencje znaków używane w protokole HTTP do oznaczania końca linii lub początku nowej. Serwery internetowe i przeglądarki używają CRLF do rozróżniania między nagłówkami HTTP a treścią odpowiedzi. Te znaki są powszechnie stosowane w komunikacji HTTP/1.1 na różnych typach serwerów internetowych, takich jak Apache i Microsoft IIS.
Wstrzyknięcie CRLF polega na wstawieniu znaków CR i LF do dostarczonych przez użytkownika danych wejściowych. Ta czynność wprowadza w błąd serwer, aplikację lub użytkownika, sugerując, że wstrzyknięta sekwencja jest końcem jednej odpowiedzi i początkiem kolejnej. Choć te znaki nie są w swojej naturze szkodliwe, ich niewłaściwe użycie może prowadzić do podziału odpowiedzi HTTP i innych złośliwych działań.
Atakujący może wykorzystać wstrzyknięcie CRLF do manipulacji tym dziennikiem. Wstrzykując znaki CRLF do żądania HTTP, atakujący może zmienić strumień wyjściowy i sfabrykować wpisy dziennika. Na przykład, wstrzyknięta sekwencja może przekształcić wpis dziennika w:
Atakujący maskuje swoje złośliwe działania, sprawiając, że wydaje się, że działania te zostały wykonane przez localhosta (podmiot zwykle uznawany za zaufany w środowisku serwera). Serwer interpretuje część zapytania rozpoczynającą się od `%0d%0a` jako pojedynczy parametr, podczas gdy parametr `restrictedaction` jest analizowany jako inny, oddzielny wejście. Zmanipulowane zapytanie efektywnie imituje prawidłowe polecenie administracyjne: `/index.php?page=home&restrictedaction=edit`
Podział odpowiedzi HTTP to podatność na bezpieczeństwo, która pojawia się, gdy atakujący wykorzystuje strukturę odpowiedzi HTTP. Ta struktura oddziela nagłówki od treści za pomocą określonej sekwencji znaków, powrotu karetki (CR), a następnie przejścia do nowej linii (LF), łącznie określanej jako CRLF. Jeśli atakujący zdoła wstawić sekwencję CRLF do nagłówka odpowiedzi, może efektywnie manipulować następną zawartością odpowiedzi. Tego rodzaju manipulacja może prowadzić do poważnych problemów z bezpieczeństwem, zwłaszcza ataków typu Cross-site Scripting (XSS).
2. Aplikacja pobiera wartość dla `UserInput` z parametru zapytania, powiedzmy "user\_input". W przypadkach braku odpowiedniej walidacji i kodowania wejścia, atakujący może stworzyć ładunek, który zawiera sekwencję CRLF, a następnie złośliwą zawartość.
3. Atakujący tworzy adres URL z specjalnie spreparowanym 'user\_input': `?user_input=Value%0d%0a%0d%0a<script>alert('XSS')</script>`
* W tym adresie URL, `%0d%0a%0d%0a` to zakodowana w formie URL sekwencja CRLFCRLF. To oszukuje serwer, aby wstawił sekwencję CRLF, sprawiając, że serwer traktuje następną część jako treść odpowiedzi.
4. Serwer odzwierciedla wejście atakującego w nagłówku odpowiedzi, prowadząc do niezamierzonej struktury odpowiedzi, w której złośliwy skrypt jest interpretowany przez przeglądarkę jako część treści odpowiedzi.
Z [https://medium.com/bugbountywriteup/bugbounty-exploiting-crlf-injection-can-lands-into-a-nice-bounty-159525a9cb62](https://medium.com/bugbountywriteup/bugbounty-exploiting-crlf-injection-can-lands-into-a-nice-bounty-159525a9cb62)
Wstrzykiwanie nagłówków HTTP, często wykorzystywane poprzez wstrzykiwanie CRLF (powrót karetki i znak nowej linii), pozwala atakującym wstawić nagłówki HTTP. Może to podważyć mechanizmy bezpieczeństwa, takie jak filtry XSS (Cross-Site Scripting) lub SOP (Same-Origin Policy), potencjalnie prowadząc do nieautoryzowanego dostępu do danych poufnych, takich jak tokeny CSRF, lub manipulacji sesji użytkownika poprzez podstawienie plików cookie.
Atakujący może wstrzyknąć nagłówki HTTP, aby umożliwić CORS (Cross-Origin Resource Sharing), omijając ograniczenia narzucone przez SOP. To naruszenie pozwala skryptom z złośliwych źródeł na interakcję z zasobami z innego źródła, potencjalnie uzyskując dostęp do chronionych danych.
Wstrzykiwanie CRLF może być wykorzystane do stworzenia i wstrzyknięcia całkowicie nowego żądania HTTP. Przykładem tego jest podatność w klasie `SoapClient` w PHP, konkretnie w parametrze `user_agent`. Poprzez manipulację tym parametrem, atakujący może wstawić dodatkowe nagłówki i treść ciała, lub nawet wstrzyknąć całkowicie nowe żądanie HTTP. Poniżej znajduje się przykład w PHP demonstrujący to wykorzystanie:
Aby uzyskać więcej informacji na temat tej techniki i potencjalnych problemów, [**sprawdź oryginalne źródło**](https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning).
Następnie można określić drugie żądanie. Ten scenariusz zazwyczaj obejmuje [smuglowanie żądań HTTP](http-request-smuggling/), technikę, w której dodatkowe nagłówki lub elementy ciała dodane przez serwer po wstrzyknięciu mogą prowadzić do różnych eksploatacji bezpieczeństwa.
1.**Zatrucie prefiksem złośliwym**: Ta metoda polega na zatruciu następnego żądania użytkownika lub pamięci podręcznej sieciowej poprzez określenie złośliwego prefiksu. Przykład:
2.**Tworzenie prefiksu do zatrucia kolejki odpowiedzi**: Ta metoda polega na stworzeniu prefiksu, który w połączeniu z końcowymi zbędnymi elementami tworzy kompletną drugą prośbę. Może to wywołać zatrucie kolejki odpowiedzi. Przykład:
Jeśli platforma **pobiera dane z żądania HTTP i używa ich bez oczyszczania** do **wykonywania żądań** do serwera **memcache**, atakujący może wykorzystać to zachowanie do **wstrzykiwania nowych poleceń memcache**.
Na przykład, w oryginalnie odkrytej podatności, klucze pamięci podręcznej były używane do zwracania IP i portu, do którego użytkownik powinien się połączyć, a atakujący mogli **wstrzykiwać polecenia memcache**, które **zatruwały****pamięć podręczną, wysyłając szczegóły ofiar** (w tym nazwy użytkowników i hasła) do serwerów atakującego:
Ponadto, badacze odkryli również, że mogą rozsynchronizować odpowiedzi memcache, aby wysyłać atakującego IP i porty do użytkowników, których adresu e-mail atakujący nie znali:
Aby zmniejszyć ryzyko wstrzykiwania CRLF (powrót karetki i nowa linia) lub nagłówków HTTP w aplikacjach sieciowych, zaleca się zastosowanie następujących strategii:
1.**Unikaj Bezpośredniego Wejścia Użytkownika w Nagłówki Odpowiedzi:** Najbezpieczniejszym podejściem jest powstrzymanie się od bezpośredniego uwzględniania dostarczonych przez użytkownika danych w nagłówkach odpowiedzi.
2.**Koduj Specjalne Znaki:** Jeśli unikanie bezpośredniego wejścia użytkownika nie jest możliwe, upewnij się, że używasz funkcji do kodowania specjalnych znaków, takich jak CR (powrót karetki) i LF (nowa linia). Ta praktyka zapobiega możliwości wstrzykiwania CRLF.
3.**Aktualizuj Język Programowania:** Regularnie aktualizuj używany język programowania w swoich aplikacjach sieciowych do najnowszej wersji. Wybierz wersję, która domyślnie nie zezwala na wstrzykiwanie znaków CR i LF w funkcjach odpowiedzialnych za ustawianie nagłówków HTTP.
**Wskazówka dotycząca nagrody za błąd**: **Zarejestruj się** na platformie do **bug bounty Intigriti**, stworzonej przez hakerów, dla hakerów! Dołącz do nas na [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) już dziś i zacznij zarabiać nagrody aż do **$100,000**!
<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
