maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-web/crlf-0d-0a.md'] to sw

Browse Source
This commit is contained in:
Translator 2025-07-16 16:10:37 +00:00
parent 10acb5f0a3
commit 77d91b58d4
1 changed files with 68 additions and 29 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

97
src/pentesting-web/crlf-0d-0a.md
View File

@ -4,32 +4,32 @@
### CRLF
Carriage Return (CR) na Line Feed (LF), kwa pamoja wanajulikana kama CRLF, ni mfuatano maalum wa wahusika unaotumika katika itifaki ya HTTP kuashiria mwisho wa mstari au kuanza mstari mpya. Seva za wavuti na vivinjari hutumia CRLF kutofautisha kati ya vichwa vya HTTP na mwili wa jibu. Wahusika hawa hutumika kwa kawaida katika mawasiliano ya HTTP/1.1 kati ya aina mbalimbali za seva za wavuti, kama vile Apache na Microsoft IIS.
Carriage Return (CR) na Line Feed (LF), kwa pamoja wanajulikana kama CRLF, ni mfuatano wa wahusika maalum unaotumika katika protokali ya HTTP kuashiria mwisho wa mstari au kuanza mstari mpya. Seva za wavuti na vivinjari hutumia CRLF kutofautisha kati ya vichwa vya HTTP na mwili wa jibu. Wahusika hawa hutumika kwa kawaida katika mawasiliano ya HTTP/1.1 kati ya aina mbalimbali za seva za wavuti, kama vile Apache na Microsoft IIS.
### CRLF Injection Vulnerability
CRLF injection inahusisha kuingiza wahusika wa CR na LF katika pembejeo zinazotolewa na mtumiaji. Kitendo hiki kinapotosha seva, programu, au mtumiaji kufasiri mfuatano ulioingizwa kama mwisho wa jibu moja na mwanzo wa jingine. Ingawa wahusika hawa si hatari kwa asili, matumizi yao mabaya yanaweza kusababisha kugawanyika kwa jibu la HTTP na shughuli nyingine za uhalifu.
CRLF injection inahusisha kuingiza wahusika wa CR na LF katika pembejeo zinazotolewa na mtumiaji. Kitendo hiki kinapotosha seva, programu, au mtumiaji kufasiri mfuatano ulioingizwa kama mwisho wa jibu moja na mwanzo wa jingine. Ingawa wahusika hawa si hatari kwa asili, matumizi yao mabaya yanaweza kusababisha kugawanywa kwa majibu ya HTTP na shughuli nyingine za uhalifu.
### Example: CRLF Injection in a Log File
### Mfano: CRLF Injection katika Faili ya Kumbukumbu
[Example from here](https://www.invicti.com/blog/web-security/crlf-http-header/)
Fikiria faili ya kumbukumbu katika paneli ya admin inayofuata muundo: `IP - Time - Visited Path`. Kuingia kwa kawaida kunaweza kuonekana kama:
Fikiria faili ya kumbukumbu katika paneli ya usimamizi inayofuata muundo: `IP - Wakati - Njia Iliyo Tembelewa`. Kuingia kwa kawaida kunaweza kuonekana kama:
```
123.123.123.123 - 08:15 - /index.php?page=home
```
Mshambuliaji anaweza kutumia CRLF injection kubadilisha log hii. Kwa kuingiza wahusika wa CRLF katika ombi la HTTP, mshambuliaji anaweza kubadilisha mtiririko wa pato na kuunda entries za log. Kwa mfano, mfuatano ulioingizwa unaweza kubadilisha entry ya log kuwa:
Mshambuliaji anaweza kutumia CRLF injection kubadilisha log hii. Kwa kuingiza wahusika wa CRLF katika ombi la HTTP, mshambuliaji anaweza kubadilisha mtiririko wa pato na kutunga entries za log. Kwa mfano, mfuatano ulioingizwa unaweza kubadilisha entry ya log kuwa:
```
/index.php?page=home&%0d%0a127.0.0.1 - 08:15 - /index.php?page=home&restrictedaction=edit
```
Hapa, `%0d` na `%0a` zinawakilisha fomu za URL-encoded za CR na LF. Baada ya shambulio, log itakuwa na kuonyesha kwa njia isiyo sahihi:
Hapa, `%0d` na `%0a` zinawakilisha fomu za URL-encoded za CR na LF. Baada ya shambulio, log itakuwa naonyesha kwa njia ya kupotosha:
```
IP - Time - Visited Path
123.123.123.123 - 08:15 - /index.php?page=home&
127.0.0.1 - 08:15 - /index.php?page=home&restrictedaction=edit
```
Mshambuliaji hivyo anaficha shughuli zao za uhalifu kwa kufanya ionekane kana kwamba localhost (kiungo ambacho kwa kawaida kinatumiwa kuaminika ndani ya mazingira ya seva) ilifanya vitendo hivyo. Seva inatafsiri sehemu ya ombi inayoanisha na `%0d%0a` kama parameter moja, wakati parameter ya `restrictedaction` inachambuliwa kama ingizo lingine, tofauti. Ombi lililobadilishwa kwa ufanisi linaiga amri halali ya usimamizi: `/index.php?page=home&restrictedaction=edit`
Mshambuliaji hivyo anaficha shughuli zao za uhalifu kwa kuifanya ionekane kana kwamba localhost (kiungo ambacho kwa kawaida kinatumiwa kuaminika ndani ya mazingira ya seva) ilifanya vitendo hivyo. Seva inatafsiri sehemu ya ombi inayoanisha na `%0d%0a` kama parameter moja, wakati parameter ya `restrictedaction` inachambuliwa kama ingizo lingine, tofauti. Ombi lililobadilishwa kwa ufanisi linaiga amri halali ya usimamizi: `/index.php?page=home&restrictedaction=edit`
### HTTP Response Splitting
@ -40,10 +40,10 @@ HTTP Response Splitting ni udhaifu wa usalama unaotokea wakati mshambuliaji anat
#### XSS kupitia HTTP Response Splitting
1. Programu inaweka kichwa maalum kama hiki: `X-Custom-Header: UserInput`
2. Programu inapata thamani ya `UserInput` kutoka kwa parameter ya ombi, sema "user_input". Katika hali ambazo hazina uthibitisho sahihi wa ingizo na usimbaji, mshambuliaji anaweza kuunda payload inayojumuisha mfuatano wa CRLF, ikifuatiwa na maudhui ya uhalifu.
2. Programu inapata thamani ya `UserInput` kutoka kwa parameter ya ombi, sema "user_input". Katika hali ambazo hazina uthibitisho sahihi wa ingizo na usimbuaji, mshambuliaji anaweza kuunda payload inayojumuisha mfuatano wa CRLF, ikifuatiwa na maudhui ya uhalifu.
3. Mshambuliaji anaunda URL yenye 'user_input' iliyoundwa kwa njia maalum: `?user_input=Value%0d%0a%0d%0a<script>alert('XSS')</script>`
- Katika URL hii, `%0d%0a%0d%0a` ni fomu ya URL-encoded ya CRLFCRLF. Inamdanganya seva kuingiza mfuatano wa CRLF, ikifanya seva itendee sehemu inayofuata kama mwili wa jibu.
4. Seva inarejesha ingizo la mshambuliaji katika kichwa cha jibu, na kusababisha muundo usio kusudiwa wa jibu ambapo script ya uhalifu inatafsiriwa na kivinjari kama sehemu ya mwili wa jibu.
4. Seva inarejesha ingizo la mshambuliaji katika kichwa cha jibu, na kusababisha muundo usio kusudi wa jibu ambapo script ya uhalifu inatafsiriwa na kivinjari kama sehemu ya mwili wa jibu.
#### Mfano wa HTTP Response Splitting inayopelekea Redirect
@ -53,7 +53,7 @@ Kivinjari hadi:
```
/%0d%0aLocation:%20http://myweb.com
```
Na majibu ya seva yana kichwa:
Na server inajibu na kichwa:
```
Location: http://myweb.com
```
@ -63,18 +63,20 @@ http://www.example.com/somepage.php?page=%0d%0aContent-Length:%200%0d%0a%0d%0aHT
```
#### Katika Njia ya URL
Unaweza kutuma payload **ndani ya njia ya URL** kudhibiti **jibu** kutoka kwa seva (mfano kutoka [hapa](https://hackerone.com/reports/192667)):
Unaweza kutuma payload **ndani ya njia ya URL** ili kudhibiti **jibu** kutoka kwa seva (mfano kutoka [hapa](https://hackerone.com/reports/192667)):
```
http://stagecafrstore.starbucks.com/%3f%0d%0aLocation:%0d%0aContent-Type:text/html%0d%0aX-XSS-Protection%3a0%0d%0a%0d%0a%3Cscript%3Ealert%28document.domain%29%3C/script%3E
http://stagecafrstore.starbucks.com/%3f%0D%0ALocation://x:1%0D%0AContent-Type:text/html%0D%0AX-XSS-Protection%3a0%0D%0A%0D%0A%3Cscript%3Ealert(document.domain)%3C/script%3E
```
Check more examples in:
{{#ref}}
https://github.com/EdOverflow/bugbounty-cheatsheet/blob/master/cheatsheets/crlf.md
{{#endref}}
### HTTP Header Injection
HTTP Header Injection, mara nyingi inavyotumiwa kupitia CRLF (Carriage Return and Line Feed) injection, inaruhusu washambuliaji kuingiza vichwa vya HTTP. Hii inaweza kudhoofisha mifumo ya usalama kama vile XSS (Cross-Site Scripting) filters au SOP (Same-Origin Policy), ambayo inaweza kusababisha ufikiaji usioidhinishwa wa data nyeti, kama vile CSRF tokens, au udanganyifu wa vikao vya watumiaji kupitia kupanda kwa cookie.
HTTP Header Injection, mara nyingi inavyotumiwa kupitia CRLF (Carriage Return and Line Feed) injection, inaruhusu washambuliaji kuingiza vichwa vya HTTP. Hii inaweza kudhoofisha mifumo ya usalama kama vile XSS (Cross-Site Scripting) filters au SOP (Same-Origin Policy), ambayo inaweza kusababisha ufikiaji usioidhinishwa wa data nyeti, kama vile CSRF tokens, au udanganyifu wa vikao vya mtumiaji kupitia kupanda kwa cookie.
#### Exploiting CORS via HTTP Header Injection
@ -119,11 +121,11 @@ Baada ya hapo, ombi la pili linaweza kufafanuliwa. Hali hii kwa kawaida inahusis
**Udhihirisho:**
1. **Kuongeza Kichwa Chenye Nia Mbaya**: Mbinu hii inahusisha kuharibu ombi la mtumiaji anayefuata au cache ya wavuti kwa kufafanua kichwa chenye nia mbaya. Mfano wa hii ni:
1. **Kuingiza Kichwa Chenye Nia Mbaya**: Mbinu hii inahusisha kuharibu ombi la mtumiaji anayefuata au cache ya wavuti kwa kufafanua kichwa chenye nia mbaya. Mfano wa hii ni:
`GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/redirplz%20HTTP/1.1%0d%0aHost:%20oastify.com%0d%0a%0d%0aContent-Length:%2050%0d%0a%0d%0a HTTP/1.1`
2. **Kuunda Kichwa kwa Ajili ya Kuathiri Mfululizo wa Majibu**: Mbinu hii inahusisha kuunda kichwa ambacho, kinapounganishwa na taka za nyuma, kinaunda ombi kamili la pili. Hii inaweza kusababisha kuathiri mfululizo wa majibu. Mfano ni:
2. **Kuunda Kichwa kwa Ajili ya Kuharibu Mfululizo wa Majibu**: Mbinu hii inahusisha kuunda kichwa ambacho, kinapounganishwa na takataka za nyuma, kinaunda ombi la pili kamili. Hii inaweza kusababisha kuharibu mfululizo wa majibu. Mfano ni:
`GET /%20HTTP/1.1%0d%0aHost:%20redacted.net%0d%0aConnection:%20keep-alive%0d%0a%0d%0aGET%20/%20HTTP/1.1%0d%0aFoo:%20bar HTTP/1.1`
@ -137,13 +139,13 @@ Memcache ni **hifadhi ya funguo-thamani inayotumia itifaki ya maandiko wazi**. M
**Kwa maelezo kamili soma**[ **andika asili**](https://www.sonarsource.com/blog/zimbra-mail-stealing-clear-text-credentials-via-memcache-injection/)
Ikiwa jukwaa linachukua **data kutoka kwa ombi la HTTP na kuitumia bila kuisafisha** ili kufanya **maombi** kwa **seva ya memcache**, mshambuliaji anaweza kutumia tabia hii ku **ingiza amri mpya za memcache**.
Ikiwa jukwaa linachukua **data kutoka kwa ombi la HTTP na kuifanya bila kusafisha** ili kutekeleza **maombi** kwa **seva ya memcache**, mshambuliaji anaweza kutumia tabia hii ku **ingiza amri mpya za memcache**.
Kwa mfano, katika udhaifu ulio gunduliwa awali, funguo za cache zilitumika kurudisha IP na bandari ambayo mtumiaji anapaswa kuungana nayo, na washambuliaji walikuwa na uwezo wa **kuingiza amri za memcache** ambazo zingekuwa **kuharibu** **cache ili kutuma maelezo ya wahanga** (majina ya watumiaji na nywila zimejumuishwa) kwa seva za mshambuliaji:
Kwa mfano, katika udhaifu ulio gunduliwa awali, funguo za cache zilitumika kurudisha IP na bandari ambayo mtumiaji anapaswa kuungana nayo, na washambuliaji walikuwa na uwezo wa **kuingiza amri za memcache** ambazo zingeharibu **cache ili kutuma maelezo ya waathirika** (majina ya watumiaji na nywila zilijumuishwa) kwa seva za mshambuliaji:
<figure><img src="../images/image (659).png" alt="https://assets-eu-01.kc-usercontent.com/d0f02280-9dfb-0116-f970-137d713003b6/ba72cd16-2ca0-447b-aa70-5cde302a0b88/body-578d9f9f-1977-4e34-841c-ad870492328f_10.png?w=1322&h=178&auto=format&fit=crop"><figcaption></figcaption></figure>
Zaidi ya hayo, watafiti pia waligundua kwamba wangeweza kuondoa usawa wa majibu ya memcache ili kutuma IP na bandari za washambuliaji kwa watumiaji ambao barua pepe za mshambuliaji hazijulikani:
Zaidi ya hayo, watafiti pia waligundua kuwa wangeweza kuondoa usawa wa majibu ya memcache ili kutuma IP na bandari za washambuliaji kwa watumiaji ambao barua pepe za washambuliaji hazijulikani:
<figure><img src="../images/image (637).png" alt="https://assets-eu-01.kc-usercontent.com/d0f02280-9dfb-0116-f970-137d713003b6/c6c1f3c4-d244-4bd9-93f7-2c88f139acfa/body-3f9ceeb9-3d6b-4867-a23f-e0e50a46a2e9_14.png?w=1322&h=506&auto=format&fit=crop"><figcaption></figcaption></figure>
@ -152,8 +154,8 @@ Zaidi ya hayo, watafiti pia waligundua kwamba wangeweza kuondoa usawa wa majibu
Ili kupunguza hatari za CRLF (Carriage Return and Line Feed) au HTTP Header Injections katika programu za wavuti, mikakati ifuatayo inapendekezwa:
1. **Epuka Kuingiza Moja kwa Moja kutoka kwa Watumiaji katika Vichwa vya Majibu:** Njia salama zaidi ni kuepuka kuingiza maoni ya watumiaji moja kwa moja katika vichwa vya majibu.
2. **Fanya Msimbo wa Mifano ya Maalum:** Ikiwa kuepuka kuingiza moja kwa moja kutoka kwa watumiaji si rahisi, hakikisha kutumia kazi iliyokusudiwa kwa ajili ya msimbo wa mifano ya maalum kama CR (Carriage Return) na LF (Line Feed). Praktiki hii inazuia uwezekano wa kuingiza CRLF.
3. **Sasisha Lugha ya Programu:** Sasisha mara kwa mara lugha ya programu inayotumiwa katika programu zako za wavuti hadi toleo la hivi karibuni. Chagua toleo ambalo kwa asili haliruhusu kuingiza wahusika wa CR na LF ndani ya kazi zinazohusika na kuweka vichwa vya HTTP.
2. **Fanya Msimbo wa Mambo Maalum:** Ikiwa kuepuka kuingiza moja kwa moja kutoka kwa watumiaji si rahisi, hakikisha kutumia kazi iliyokusudiwa kwa ajili ya kuandika msimbo wa mambo maalum kama CR (Carriage Return) na LF (Line Feed). Praktika hii inazuia uwezekano wa kuingiza CRLF.
3. **Sasisha Lugha ya Programu:** Sasisha mara kwa mara lugha ya programu inayotumiwa katika programu zako za wavuti hadi toleo la hivi karibuni. Chagua toleo ambalo kwa asili haliruhusu kuingiza wahusika wa CR na LF ndani ya kazi zinazotumika kuweka vichwa vya HTTP.
### CHEATSHEET
@ -179,20 +181,57 @@ Ili kupunguza hatari za CRLF (Carriage Return and Line Feed) au HTTP Header Inje
• %E5%98%BC = %3C = \u563c (<)
• Payload = %E5%98%8A%E5%98%8DSet-Cookie:%20test
```
## Vifaa vya Moja kwa Moja
### Recent Vulnerabilities (2023 2025)
- [https://github.com/Raghavd3v/CRLFsuite](https://github.com/Raghavd3v/CRLFsuite)
- [https://github.com/dwisiswant0/crlfuzz](https://github.com/dwisiswant0/crlfuzz)
Miaka michache iliyopita imezalisha makosa kadhaa yenye athari kubwa ya CRLF/HTTP header-injection katika sehemu zinazotumiwa sana za seva na mteja. Kureproduce na kujifunza kuhusu makosa haya kwa ndani ni njia bora ya kuelewa mifumo halisi ya unyakuzi.
## Orodha ya Ugunduzi wa Brute-Force
| Mwaka | Sehemu | CVE / Ushauri | Sababu ya msingi | PoC highlight |
|------|-----------|---------------|------------|---------------|
| 2024 | RestSharp (≥110.0.0 <110.2.0) | **CVE-2024-45302** | Msaada wa `AddHeader()` haukufanya usafi wa CR/LF, kuruhusu ujenzi wa vichwa vingi vya ombi wakati RestSharp inatumika kama mteja wa HTTP ndani ya huduma za nyuma. Mifumo ya chini inaweza kulazimishwa kufanya SSRF au kuhamasisha ombi. | `client.AddHeader("X-Foo","bar%0d%0aHost:evil")` |
| 2024 | Refit (≤ 7.2.101) | **CVE-2024-51501** | Sifa za kichwa kwenye mbinu za interface zilinakiliwa kama zilivyo katika ombi. Kwa kuingiza `%0d%0a`, washambuliaji wangeweza kuongeza vichwa vya kawaida au hata ombi la pili wakati Refit ilitumika na kazi za upande wa seva. | `[Headers("X: a%0d%0aContent-Length:0%0d%0a%0d%0aGET /admin HTTP/1.1")]` |
| 2023 | Apache APISIX Dashboard | **GHSA-4h3j-f5x9-r6x3** | Paramenta ya `redirect` iliyotolewa na mtumiaji ilirudishwa kwenye kichwa cha `Location:` bila kuwekwa msimbo, ikiruhusu uelekeo wazi + kuharibu cache. | `/login?redirect=%0d%0aContent-Type:text/html%0d%0a%0d%0a<script>alert(1)</script>` |
- [https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/crlf.txt](https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/crlf.txt)
Makosa haya ni muhimu kwa sababu yanachochewa **ndani ya msimbo wa kiwango cha programu** na si tu kwenye kingo ya seva ya wavuti. Kila sehemu ya ndani inayofanya maombi ya HTTP au kuweka vichwa vya majibu lazima hivyo itekeleze uchujaji wa CR/LF.
## Marejeleo
### Advanced Unicode / Control-Character Bypasses
- [**https://www.invicti.com/blog/web-security/crlf-http-header/**](https://www.invicti.com/blog/web-security/crlf-http-header/)
- [**https://www.acunetix.com/websitesecurity/crlf-injection/**](https://www.acunetix.com/websitesecurity/crlf-injection/)
- [**https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning**](https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning)
- [**https://www.netsparker.com/blog/web-security/crlf-http-header/**](https://www.netsparker.com/blog/web-security/crlf-http-header/)
Stacks za kisasa za WAF/rewriter mara nyingi huondoa `\r`/`\n` halisi lakini husahau kuhusu wahusika wengine ambao wengi wa nyuma wanachukulia kama wahitimishaji wa mistari. Wakati CRLF inachujwa, jaribu:
* `%E2%80%A8` (`U+2028` LINE SEPARATOR)
* `%E2%80%A9` (`U+2029` PARAGRAPH SEPARATOR)
* `%C2%85` (`U+0085` NEXT LINE)
Baadhi ya mifumo ya Java, Python na Go hubadilisha hizi kuwa `\n` wakati wa uchambuzi wa kichwa (tazama utafiti wa Praetorian wa 2023). Changanya nazo na payloads za jadi:
```
/%0A%E2%80%A8Set-Cookie:%20admin=true
```
Ikiwa chujio kinarekebisha UTF-8 kwanza, tabia ya kudhibiti inageuzwa kuwa mchakato wa kawaida wa kuandika mistari na kichwa kilichoongezwa kinakubaliwa.
### WAF Evasion kupitia Hila ya `Content-Encoding` Iliyojirudia (2023)
Watafiti wa Praetorian pia walionyesha kwamba kwa kuingiza:
```
%0d%0aContent-Encoding:%20identity%0d%0aContent-Length:%2030%0d%0a
```
into a reflected header, browsers will ignore the body supplied by the server and render attacker-supplied HTML that follows, giving stored XSS even when the applications own content is inert. Kwa sababu `Content-Encoding: identity` inaruhusiwa na RFC 9110, proxies nyingi za kinyume zinaipitia bila kubadilisha.
## Automatic Tools
* [CRLFsuite](https://github.com/Raghavd3v/CRLFsuite) fast active scanner written in Go.
* [crlfuzz](https://github.com/dwisiswant0/crlfuzz) wordlist-based fuzzer that supports Unicode newline payloads.
* [crlfix](https://github.com/glebarez/crlfix) 2024 utility that patches HTTP requests generated by Go programs and can be used standalone to test internal services.
## Brute-Force Detection List
- [carlospolop/Auto_Wordlists crlf.txt](https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/crlf.txt)
## References
- [https://www.invicti.com/blog/web-security/crlf-http-header/](https://www.invicti.com/blog/web-security/crlf-http-header/)
- [https://www.acunetix.com/websitesecurity/crlf-injection/](https://www.acunetix.com/websitesecurity/crlf-injection/)
- [https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning](https://portswigger.net/research/making-http-header-injection-critical-via-response-queue-poisoning)
- [https://www.netsparker.com/blog/web-security/crlf-http-header/](https://www.netsparker.com/blog/web-security/crlf-http-header/)
- [https://nvd.nist.gov/vuln/detail/CVE-2024-45302](https://nvd.nist.gov/vuln/detail/CVE-2024-45302)
- [https://security.praetorian.com/blog/2023-unicode-newlines-bypass/](https://security.praetorian.com/blog/2023-unicode-newlines-bypass/)
{{#include ../banners/hacktricks-training.md}}