HTTP参数污染学习

HTTP参数污染 --- HPP

参考:

  1. 参数污染漏洞(HPP)挖掘技巧及实战案例全汇总
  2. 视频内容

HPP,简而言之,就是给参数赋上多个值。

比如: https://www.baidu.com/s?wd=asdqwe&wd=http参数污染
百度究竟会给出有关 asdqwe 的相关信息,还是 http参数污染 的相关信息,还是两者兼并?事实证明,百度只取第一个关键词 asdqwe,不同的服务器架构会取不同的值

原因:由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误

下面是不同服务端所处理的方式

Web服务器 参数获取函数 获取到的参数
PHP/Apache $_GET(“par”) Last
JSP/Tomcat Request.getParameter(“par”) First
Perl(CGI)/Apache Param(“par”) First
Python/Apache getvalue(“par”) All (List)
ASP/IIS Request.QueryString(“par”) All (comma-delimited string)

推荐一个自动识别前后端框架的插件 wappalyzer,chrome、firefox、edge 都有

用处:

  1. 逻辑漏洞:
  • 任意URL跳转
    例如:
    www.famous.website?ret_url=subdomain.famous.website ,由于后端做了限制,当我们把 ret_url 改成别的不同源的域名(如baidu.com)时会报错
    但是我们可以利用HPP,将请求地址变成 www.famous.website?ret_url=subdomain.famous.website&ret_url=baidu.com 时,由于服务器逻辑错误
    使用第一个 ret_url 做校验参数,而第二个 ret_url 参数做跳转目的地址。于是这样便可成功绕过限制,形成任意 URL 跳转

  • 任意密码重置(短信爆破)
    一般重置密码的时候,会发送短信到用户手机
    比如GET/POST传递的参数为:phone=13888888888
    我们一般会去想,能不能发送验证码到自己的手机,于是可以构造成: phone=13888888888,12345678901 或者 phone=13888888888;12345678901 或者 phone={13888888888,12345678901}
    等等一些情况,有时候能通过,但是有些时候会出现 号码不合法 的情况,此时便可以考虑利用 HPP —— phone=13888888888&phone=12345678901,如果恰好服务器用第一个号码验证是否存在该用户,而使用第二个号码发送短信时,我们便可以接管该用户

  1. 绕过 WAF
    原理:当 WAF 检测端与服务器端webapp使用的参数不一致时,便可绕过 WAF 限制

WAF框架:

框架 取值
flask First
django Last
  • SQL注入绕过

方式1:
例如:WAF 端采用 flask 框架而服务器 webapp 端采用 PHP/Apache 框架时,由于 WAF 取第一个参数,app 取第二个参数,利用 HPP 便可绕过 WAF 检测
www.xxx.com/search.php?id=1&id=7 union select 1,2,database()

方式2:
例如:WAF 端只检测单个参数,而服务器 webapp 端会将所有参数合并起来检测
www.xxx.com/search.php?id=1&id=%20union%20&id=select%201,2&id=,database() 利用拼接的方式绕过 WAF

  • XSS
    跟 SQL 注入相似,检测过滤与实际采纳的参数不一致

可能有 HPP 的地方

  1. 很多可能存在越权漏洞的地方,当做了权限验证时,可以试一试提交多个参数
  2. 绕 WAF 的时候
posted @ 2020-05-28 14:18  1ndex-  阅读(1163)  评论(0编辑  收藏  举报