一、漏洞描述
CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a。在HTTP协议中,HTTP header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。
二、漏洞原理
1、 修改nginx.conf,在如下图位置添加如下配置,此配置实现了强制跳转的功能,当用户访问nginx服务器时由于此配置的存在会被强制跳转到以https协议访问之前访问的链接。
2、上面的配置的关键利用点由两个:
一是配置中的url处填入CRLF,然后对服务器进行访问实现头部注入。二是服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。
三、环境搭建
运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。
四、漏洞复现
浏览器访问http://192.168.36.147/,然后抓包,修改数据包,如下图所示,成功实现了CRLF头部注入
Payload: http://your-ip:8080/%0a%0dSet-Cookie:%20a=1,可注入Set-Cookie头。
可以用来XSS弹窗
五、漏洞防御
1、删除配置不当的配置
