用原生socket发送HTTP数据包

原创

mb5fe55c05ccc1d 2020-12-26 16:07:10 ©著作权

文章标签 java 文章分类 Java 后端开发

©著作权归作者所有：来自51CTO博客作者mb5fe55c05ccc1d的原创作品，请联系作者获取转载授权，否则将追究法律责任

分享一个写扫描器和POC时的小技巧。

有时候有的漏洞需要一些特殊的数据包，比如说畸形的HTTP头、畸形的Multipart、畸形的chunk包等，此时用编程语言自己的HTTP库可能构造不出这种数据包，此时通常我们需要用原生socket发包，比如：

import socket
p = b'''GET /get?a=1 HTTP/1.1Host: httpbin.orgUser-Agent: raw-socket\x00\x01aaa
'''.replace(b'\n', b'\r\n')with socket.create_connection(('52.22.188.80', '80'), timeout=5) as conn:    conn.send(p)    print(conn.recv(10240).decode())

实际情况下你还需要解析HTTP包，但我这里只是一个demo，运行后成功获取结果：

用原生socket发送HTTP数据包_java

可见，httpbin.org忽略了User-Agent中\0后的内容。这样，我们用原生socket编写代码，发送了畸形数据包。

那么，如果对方使用了HTTPS，我们又如何发送原生数据包呢？

其实也很简单，HTTPS实际上就是原生socket外面套一层TLS，所以我们改改代码，访问badssl.com试试：

import sslimport socket
context = ssl.create_default_context()p = b'''GET / HTTP/1.1Host: sha512.badssl.comUser-Agent: raw-socket
'''.replace(b'\n', b'\r\n')with socket.create_connection(('sha512.badssl.com', 443), timeout=5) as conn:    with context.wrap_socket(conn, server_hostname='sha512.badssl.com') as sconn:        sconn.send(p)        print(sconn.recv(10240).decode())