# 升级头部欺骗
☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 - 你在一家**网络安全公司**工作吗?你想在 HackTricks 中看到你的**公司广告**吗?或者你想获得**PEASS 的最新版本或下载 HackTricks 的 PDF 版本**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! - 发现我们的独家 NFT 收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family) - 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com) - **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass),或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** - **通过向[hacktricks 仓库](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud)提交 PR 来分享你的黑客技巧**。
找到最重要的漏洞,以便更快地修复它们。Intruder 跟踪您的攻击面,运行主动威胁扫描,发现整个技术堆栈中的问题,从 API 到 Web 应用程序和云系统。[**立即免费试用**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。 {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %} *** ## H2C 欺骗 ### 明文 HTTP2 (H2C) 通常,普通的 HTTP 连接只持续一个请求的时间。然而,H2C 或者“**明文 HTTP2**”是指将普通的短暂的 HTTP 连接**升级为使用 HTTP2 二进制协议进行持续通信的持久连接**,而不是使用明文 HTTP 协议进行一次请求。 欺骗的第二部分发生在使用**反向代理**时。通常,当向反向代理发送 HTTP 请求时,代理会处理请求,处理一系列路由规则,然后将请求转发到后端,然后返回响应。当 HTTP 请求包含`Connection: Upgrade`头部时,例如用于 WebSocket 连接,反向代理将**维持客户端和服务器之间的持久连接**,**允许这些协议所需的持续通信**。对于 H2C 连接,RFC 要求存在 3 个头部: ``` Upgrade: h2c HTTP2-Settings: AAMAAABkAARAAAAAAAIAAAAA Connection: Upgrade, HTTP2-Settings ``` ## 漏洞位置 当升级连接时,反向代理通常会停止处理单个请求,假设一旦建立连接,其路由工作就完成了。使用H2C Smuggling,我们可以绕过反向代理在处理请求时使用的规则,如基于路径的路由、身份验证或WAF处理,只要我们能首先建立H2C连接。 ![](<../.gitbook/assets/image (454).png>) ### 受影响的代理 从漏洞的解释中可以看出,代理服务器需要转发Upgrade标头,并且有时还需要成功转发Connection标头。 默认情况下,以下服务在代理传递期间会转发Upgrade和Connection标头,从而使h2c smuggling开箱即用: - HAProxy - Traefik - Nuster 默认情况下,这些服务在代理传递期间不会转发Upgrade和Connection标头,但可以以不安全的方式进行配置(通过传递未经过滤的Upgrade和Connection标头): - AWS ALB/CLB - NGINX - Apache - Squid - Varnish - Kong - Envoy - Apache Traffic Server ### 攻击 原始博客文章指出,并非所有服务器都会转发符合H2C连接升级所需的标头。这意味着默认情况下,负载均衡器(如AWS ALB/CLB、NGINX和Apache Traffic Server等)将阻止H2C连接。然而,在博客文章的结尾处,他提到“并非所有后端都符合规范,我们可以使用不符合规范的`Connection: Upgrade`变体进行测试,其中`Connection`标头中省略了`HTTP2-Settings`值”。 {% hint style="danger" %} 请注意,即使`proxy_pass` URL(代理转发连接的终点)指向特定的路径,例如`http://backend:9999/socket.io`,连接也将与`http://backend:9999`建立,因此您可以滥用此技术来联系该内部终点中的任何其他路径。因此,在proxy_pass的URL中指定路径并不重要。 {% endhint %} 使用工具[**https://github.com/BishopFox/h2csmuggler**](https://github.com/BishopFox/h2csmuggler)和[**https://github.com/assetnote/h2csmuggler**](https://github.com/assetnote/h2csmuggler),您可以尝试绕过代理所施加的保护,建立H2C连接并访问受代理保护的资源。 点击此链接获取有关[Nginx中此漏洞的更多信息](../network-services-pentesting/pentesting-web/nginx.md#proxy\_set\_header-upgrade-and-connection)。 ## WebSocket Smuggling 与之前的技术类似,这个技术不是创建到通过代理可访问的端点的HTTP2隧道,而是为相同目的创建一个WebSocket隧道,绕过潜在的代理限制并直接与端点通信: ![](<../.gitbook/assets/image (651) (2) (1).png>) ### 场景1 我们有一个后端,公开暴露了**WebSocket API**,并且还有一个**无法从外部访问的内部REST API**。恶意客户端想要访问内部REST API。 在**第一步**中,客户端发送**升级请求**到反向代理,但在标头`Sec-WebSocket-Version`中使用了**错误的协议版本**。**代理**不验证`Sec-WebSocket-Version`标头,并认为**升级请求是正确的**。然后,它将请求转发到后端。 在第二步中,后端发送**带有状态码`426`的响应,因为标头`Sec-WebSocket-Version`中的协议版本不正确**。然而,**反向代理不会检查**来自后端的足够响应(包括状态码),并**认为后端已准备好进行WebSocket通信**。然后,它将请求转发到客户端。 最后,反向**代理认为**客户端和后端之间**建立了WebSocket连接**。实际上并没有WebSocket连接 - 后端拒绝了升级请求。同时,代理保持客户端和后端之间的TCP或TLS连接处于打开状态。**客户端可以通过在连接上发送HTTP请求轻松访问私有REST API**。 ![](https://github.com/0ang3el/websocket-smuggle/raw/master/img/2-4.png) 发现以下反向代理受到影响: - Varnish - 团队拒绝修复所描述的问题。 - Envoy proxy 1.8.0(或更早版本)- 在更新的版本中,升级机制已更改。 - 其他 - 待定。 ### 场景2 大多数反向代理(例如NGINX)在握手部分期间**检查来自后端的状态码**。这使得攻击更加困难,但并非不可能。 让我们观察第二个场景。我们有一个后端,公开暴露了WebSocket API和用于健康检查的公共REST API,同时还有**无法从外部访问的内部REST API**。恶意客户端想要访问内部REST API。NGINX用作反向代理。WebSocket API在路径`/api/socket.io/`上可用,健康检查API在路径`/api/health`上可用。 通过发送POST请求来调用健康检查API,名为`u`的参数控制URL。后端访问由恶意用户控制的外部资源,并将状态码返回给客户端。 在**第一步**中,客户端发送POST请求来调用**健康检查API,但附加了HTTP标头`Upgrade: websocket`**。NGINX认为这是一个**正常的升级请求**,它只查找`Upgrade`标头,跳过请求的其他部分。然后代理将请求转发到后端。 在**第二步**中,后端调用健康检查API。它访问由恶意用户控制的外部资源,并返回带有状态码`101`的HTTP响应。后端将该响应转发给反向代理。由于NGINX仅验证状态码,**它将认为后端已准备好进行WebSocket通信**。然后,它将请求转发到客户端。 ![](https://github.com/0ang3el/websocket-smuggle/raw/master/img/3-4.png) {% hint style="warning" %} 请注意,这个场景要更复杂一些,因为您需要能够联系某个**返回状态码101**的端点。 {% endhint %} 最后,**NGINX认为**客户端和后端之间**建立了WebSocket连接**。实际上并没有WebSocket连接 - 后端调用了健康检查REST API。同时,反向代理保持客户端和后端之间的TCP或TLS连接处于打开状态。**客户端可以通过在连接上发送HTTP请求轻松访问私有REST API**。 ![](https://github.com/0ang3el/websocket-smuggle/raw/master/img/3-5.png) 大多数反向代理应该受到该场景的影响。然而,利用需要存在外部SSRF漏洞(通常被认为是低严重性问题)。 ### 实验室 检查实验室以测试两种情况:[https://github.com/0ang3el/websocket-smuggle.git](https://github.com/0ang3el/websocket-smuggle.git) ## 参考资料 * [https://blog.assetnote.io/2021/03/18/h2c-smuggling/](https://blog.assetnote.io/2021/03/18/h2c-smuggling/) * [https://bishopfox.com/blog/h2c-smuggling-request](https://bishopfox.com/blog/h2c-smuggling-request) * [https://github.com/0ang3el/websocket-smuggle.git](https://github.com/0ang3el/websocket-smuggle.git)
找出最重要的漏洞,以便更快地修复它们。Intruder跟踪您的攻击面,运行主动威胁扫描,发现整个技术堆栈中的问题,从API到Web应用程序和云系统。[**立即免费试用**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks)。 {% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥 - 您在**网络安全公司**工作吗?您想在HackTricks中看到您的**公司广告**吗?或者您想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗?请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! - 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品,[**The PEASS Family**](https://opensea.io/collection/the-peass-family) - 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com) - **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass),或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。** - **通过向[hacktricks repo](https://github.com/carlospolop/hacktricks)和[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)提交PR来分享您的黑客技巧**。