hacktricks/pentesting-web/http-connection-request-smuggling.md

HTTP连接请求劫持

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想获得PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品- The PEASS Family
• 获得官方PEASS和HackTricks周边产品
• 加入 💬 Discord群组 或 telegram群组 或 关注我在Twitter上的🐦@carlospolopm.
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。

连接状态攻击

首次请求验证

反向代理通常使用Host头部来识别要将每个请求路由到哪个后端服务器，并且有一个允许访问的主机白名单。

然而，一些代理只将此白名单应用于在给定连接上发送的第一个请求。这意味着攻击者可以通过向允许访问的目标发出请求，然后通过同一连接向内部网站发出请求，从而获得对内部网站的访问权限：

GET / HTTP/1.1
Host: redacted

GET / HTTP/1.1
Host: intranet.redacted

令人庆幸的是，这种错误非常罕见。

首次请求路由

首次请求路由是指前端使用首次请求的主机头来决定将请求路由到哪个后端，然后将来自同一客户端连接的所有后续请求都路由到同一后端连接。

GET / HTTP/1.1
Host: example.com

POST /pwreset HTTP/1.1
Host: psres.net

这可以与主机头攻击（如密码重置污染、Web缓存污染）以及访问其他虚拟主机相结合。

{% hint style="info" %} 您可以使用HTTP请求劫持中的“连接状态探测”选项来扫描这两个漏洞。 {% endhint %}

参考资料

• https://portswigger.net/research/browser-powered-desync-attacks

☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 您在网络安全公司工作吗？您想在HackTricks中看到您的公司广告吗？或者您想获得PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
• 发现我们的独家NFT收藏品The PEASS Family
• 获得官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组，或在Twitter上关注我🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。