- HTTP/2 dan Burp mengizinkan tampilan file di Inspector dan edisi H1 untuk normalisasi untuk mengeksploitasi vektor secara eksklusif.
- Penurunan versi H2→H1 memperkenalkan kembali H2.CL/H2.TE, meminta penerowongan dan keracunan cache dengan dampak yang lain.
- Kontrol akhir (protokol petisi, penggantian ALPN, koneksi H2) dan penyesuaian proyek yang dilakukan.
- Praktek seperti CRLF dalam nama cabecera dan HEAD untuk mengonfirmasi lagu yang menemukan cabeceras internal kritikal.
HTTP/2 telah membuka layanan yang dangkal yang sebelumnya dapat digunakan dengan perangkat pusat di HTTP/1. Burp Suite, dari Inspektur Anda dan editor pesan Anda, izinkan manipulasi dan analisis permintaan H2 dengan kontrol yang tidak akan Anda temukan di produk lain. Jika Anda memiliki web pentesting, mendominasi seperti Burp bekerja dengan HTTP/2 Ini adalah kunci untuk menemukan kesalahan modern seperti sinkronisasi, meminta penyelundupan dan menurunkan versi atau melakukan hal yang tidak mungkin dilakukan di HTTP/1.
Selain itu, los ajustes finos de Burp (protokol karena kerusakan, opsi Pengulang, pendengar Proxy, dan tugas khusus) menandai perbedaan di antara kesalahan negatif dan mengeksploitasi kritik singkat. Ini adalah panduan praktis yang tingkat profesional, yaitu terintegrasi dengan protokol penting, fungsi unik Burp, dan teknik serangan yang lebih aktual, semuanya dijelaskan dalam bahasa Spanyol alami dan langsung.
Oleh karena itu HTTP/2 mengubah pengaturan permainan di Burp Suite
Banyak layanan yang menggunakan HTTP/2, dan tentang kesalahan yang tidak mungkin terdeteksi pada batas HTTP/1. Burp Suite dipilih dalam mode kerja dengan petisi H2: perwakilan dari HTTP/1 di editor (Burp normalisasi dan iri pada yang setara di HTTP/2) o tampilan file HTTP/2 di Inspector, yang membuat cabeceras dan pseudo-cabeceras reales dan Anda mengizinkan membangun serangan eksklusif dari HTTP/2.
Dengan kombinasi ini, Anda dapat menjelajahi vektor yang hanya dapat diaudit oleh karena itu, alat-alat tersebut tidak berfungsi dengan baik. Kemampuan Burp untuk mengedit dan mengedit pseudo-cabeceras, menyuntikkan karakter baru dalam cabeceras dan memanipulasi format binario de H2 jika Anda berdagang di banyak kapal besar, seperti varian modern dari permintaan penyelundupan.
Default, Burp negocia HTTP/2 ketika server mengumumkan melalui ALPN selama jabat tangan TLS. Meskipun tidak ada kesalahan protokol, Anda menyetujui penyerahan H2; dan ketika Anda bekerja, Anda dapat membatalkan versi tersebut berdasarkan permintaan dari Inspektur.
Ketika ada banyak kerentanan pada tingkat protokol, sangat jelas bahwa versi yang digunakan dalam setiap kasus. Bersendawa lo deja claro en berbagai poin: baris petisi dan status di editor, etiqueta de protocolo en Pengulang (zona superior derecha) y Minta Atribut di Inspektur. Dalam konteks yang tidak dapat diedit, informasinya; di Proxy/Repetitor, Anda dapat mengubah versi dan memutar ulang.
Anda juga dapat mengubah protokol ke arah petisi. Bersendawa secara otomatis mengubah pesan menjadi valid dalam format baru. Jika Anda ingin mencoba HTTP/2 dari server yang tidak diumumkan oleh ALPN, aktifkan Izinkan HTTP/2 ALPN override di menu Repeater dan dapat mencapai dukungan H2 okulto.
Konsep kelas HTTP/2 yang diperlukan untuk mendominasi
HTTP/2 adalah biner. Dalam HTTP/1 semuanya adalah teks dan layanan dipisahkan dari operasi cadena (dos puntos, saltos de línea, dll.). Di H2 datanya adalah offset yang ditentukan, begitulah los delimitadores pierden significado. Esto abre la puerta a meter nuevas secuencias en nombres y valores de cabeceras bahwa di H1 Anda mengacaukan pesan, dan beberapa layanan dapat ditoleransi karena Anda mendiktekan spesifikasinya.
En la red, los pesan H2 viajan en frame: satu buah cabeceras (setara dengan baris petisi + cabeceras de H1) y, jika ada, berbagai data dengan cuerpo. Bersendawa secara sederhana tidak ada muestra los frame untuk dipisahkan; Anda menawarkan tampilan terpadu untuk bekerja tanpa merusak konten.
Garis bujur pesan di H2 adalah penjelasannya: setiap bingkai berada di propio campo de longitud kamu server suma. Ini adalah ambiguitas dari panjang konten atau transfer-encoding di H1. Tentu saja, Ini adalah pilihan di antara dunia yang ada di tangan kita ketika ada front-end yang menurunkan H2 ke H1 untuk menjalankan con el back-end.
HTTP/2 memperkenalkan pseudo-cabeceras apa yang menggantikan baris permintaan dan baris status: :method, :path, :authority, :scheme y :status (ini adalah jawaban terakhir). Menurut RFC, harusnya sebelum cabeceras normal, dan Bersendawa saat iri pada perintah yang baru saja Anda lakukan di Inspektur.
Hati-hati dengan kompatibilitas: nama-nama cabecera di H2 harusnya sangat kecil. Secara teknis mungkin menggunakan banyak perangkat, tetapi ada beberapa layanan rechazan la petición untuk memasukkan spesifikasinya. Oleh karena itu, normalisasi Burp tidak akan berhasil karena ada pesan yang valid di H1 dan tidak valid di H2.
Cara kerja petisi di Burp: editor vs Inspektur
Editor pesan dapat menggunakannya representación estilo HTTP/1 untuk permintaan HTTP/2. Bersendawa menormalkan perubahan dan iri pada server H2 yang setara. Itu ideal ketika itu el protocolo te da igual dan Anda ingin cepat mencoba aplikasinya.
Di Inspektur, dan perubahannya, sudah ada vista nativa de HTTP/2 dengan pseudo-cabeceras dan cada cabecera di campos de Nombre/Valor. Bagaimana tidak bergantung pada sintaksis H1, dapat membangun muatan eksklusif H2: inyectar dos puntos en nombres de cabecera, espacios o saltos de linea en método y path, atau CRLF dentro de cabeceras. Banyak dari edisi ini yang sangat sederhana doble clic y teclear, dan untuk memasukkan CRLF dapat membuka detail cabecera dan menggunakan Shift + Kembali untuk memperkenalkan \r\n.
Jika edisi yang Anda tidak dapat mewakili H1 tanpa informasi, Burp marca la solicitud como ketel. Dalam hal ini, editor akan mencoba untuk menunjukkan H1 yang setara dan melihat pemberitahuan yang jelas por qué está kettled; el cuerpo sigue terlihat, tapi apa pun perubahan dalam cabeceras lo harás dari Inspektur.
Buka dan ubah protokol dalam setiap petisi
Bersendawa menggunakan HTTP/2 karena cacat pada server yang diumumkan oleh ALPN. Jika Anda perlu memusatkan perhatian pada kesalahan yang memerlukan H1 (misalnya, CL.TE atau TE.CL clásicos), Anda dapat mengubah protokol untuk membelot dari proyek tersebut Pengaturan > Jaringan > HTTP, hapus pilihan yang lebih disukai H2. Anda dapat menulis petisi dengan pengatur protokol Inspektur.
Untuk mengidentifikasi versi yang sedang digunakan, Bersendawalah yang dijelaskan dalam berbagai situasi: baris petisi/status editor, indikator dan Repeater junto ke host tujuan, y en el Inspektur > Atribut Permintaan. Dalam konteks yang dapat diedit, pemilih ini diizinkan upgradear atau downgradear la solicitud al vuelo.
Jika Anda ingin mencoba dukungan H2 yang tidak diumumkan (HTTP/2 mata), aktifkan dan Repeater Izinkan penggantian HTTP/2 ALPN. Con esto, podrás forzar HTTP/2 termasuk ketika server tidak dipublikasikan oleh ALPN dan temukan permukaan permukaan dari serangan tersebut.
Skenario yang jarang terjadi ketika klien yang menavigasi melalui Proxy memiliki masalah dengan implementasi H2, mungkin nonaktifkan HTTP/2 di pendengar Proxy: Pengaturan > Alat > Proksi > Pendengar proksi > Edit > pestaña HTTP/2 dan hapus Dukungan HTTP/2. Ini hanya mempengaruhi koneksi klien-Burp; tidak ada perubahan pada koneksi Server Burp.
Petisi yang diajukan: apa yang dilakukan, bagaimana cara mengembalikannya
Una petición se vuelve ketel cuando memperkenalkan modifikasi yang Anda tidak dapat mewakili sintaksis HTTP/1 tanpa informasi. Contoh: añadir una letra mayúscula atau dos puntos al nombre de una cabecera, CRLF en el nombre o valor, espacios en :path o :method, memodifikasi :skema, duplicar pseudo-cabeceras o masukkan; dan espacio en un valor de cookie.
Jika kamu punya pasado de frenada, puedes deshacer con Ctrl/Cmd + Z, kembalikan manual dari Inspektur perubahan yang menyebabkan status ketel (pemberitahuan editor te lo chiva) o forzar el downgrade a HTTP/1 menerima bahwa jika terjadi perubahan yang tidak kompatibel: Bersendawa normalkan permintaan dan unduh agar tidak terbaca di H1.
Ekstensi bisa membuat dan mengeluarkan petisi baru, oleh karena itu Anda dapat desarrollar tus propios komplemen untuk pruebas en H2. Namun, saat ini no pueden modificar perhatian yang muncul karena saya telah menciptakan Burp, karena hanya mengakses representasi normalisasi H1.
Seperti yang terjadi pada peta jalan Burp, ia bekerja di memperluas dukungan ketel di lebih banyak perangkat, terutama fokus pada apa yang bisa dilakukan Penyusup secara alami.
Pilihan dan sesuaikan HTTP/2 dan Burp
Repeater dilengkapi pilihan khusus untuk H2. puedes menjaga protokol dan mengarahkan kembali dominasi (menerapkan pilihan protokol) agar yang lain menerima tanda lintas domain dengan versi yang dipilih, penting ketika kerentanan H2 menyebarkan petisi ke host lain. Anda juga bisa menjalankan atau menonaktifkan penggunaan kembali koneksi H2: beberapa layanan menerima permintaan atau koneksi yang berbeda dalam keadaan rusak, menyebabkan intermiten; jika kamu menonaktifkannya, Anda akan meminta untuk tetap menggunakan soket terlebih dahulu.
Pilihan lain untuk Repeater: karena cacat Burp menghilangkan cabecera Koneksi dan perhatian H2, karena banyak layanan H2 las rechazan. Jika Anda ingin bereksperimen, puedes cambiar esta conducta dan iri pada Koneksi secara merata. Y, seperti ya lihat, Izinkan penggantian HTTP/2 ALPN te ijin forzar H2 aun sin anuncio ALPN.
Selain H2, Burp mengizinkan konfigurasi jenis pengalihan yang diizinkan (3xx dengan Lokasi, Refresh header, meta refresh, JavaScript, status cualquier dengan Lokasi), dan tratar respuestas en streaming untuk tidak ada aplikasi lain yang terus berlanjut (seperti antarmuka dengan LLM atau SSE). Proxy bisa pasar el stream pada saat itu nyataPengulang memperbarui jawaban Anda dan resto de herramientas yang kamu abaikan. Anda dapat memutuskan apakah itu aliran almacenar lengkap, eliminar metadatos de chunked o tratar text/event-stream como streaming secara otomatis.
En respuestas con Status 100, Burp puede mengerti 100-Lanjutkan (saltando la respuesta intermedia dan analizando la real) y retirar cabeceras 100 antes de pasarlas al resto de herramientas. Di HTTP/1, bersendawa bisa gunakan tetap hidup jika servernya mendukung dan koneksi cierra TCP dinonaktifkan dan hilang 5 detik. Todos estos son ajustes de proyecto, aplikasi solo untuk proyek aktual.
HTTP/2 okulto: deteksi dan mitigasi
Ini adalah kebiasaan untuk menemukan layanan yang soportan H2 tapi tidak diumumkan oleh ALPN. Ini adalah permukaan luar dari serangan itu dan dapat diturunkan permintaan penyelundupan por downgrade. La receta es sencilla: abaikan ALPN dan prueba a mandar H2. Con Burp (ALPN override en Repeater) atau kegunaan seperti curl usando pengetahuan sebelumnya, Anda dapat mendeteksi pelanggan ini dengan cepat.
Ketika pertahanan terjadi, jika Anda ingin menggunakan H2, asegúrate de anunciarlo bien. Y si no lo necesitas, desactívalo del todo untuk tidak ada eksponer yang tidak perlu. Dalam situasi dengan penurunan peringkat H2->H1, rekomendasinya adalah evitarlos dan hablar H2 ekstrim dan ekstrim.
Serangan dan vektor eksklusif HTTP/2
Keluarga Besar Kejatuhan di H2 Akan Terjadi turunkan H2 ke H1 di bagian depan. Bagian depan garis bujur pada frame H2, tetapi bagian belakang menurun dengan cepat Panjang Konten/Pengodean Transfer. Desacuerdo ini memperkenalkan kembali desincronizaciones dengan varian baru: H2.CL (el front no valida CL) y H2.TE (acepta cabeceras de connection prohibidas como TE).
Un caso célebre de H2.CL mempengaruhi situasi streaming secara keseluruhan. Masukkan petisi HTTP/2 con Content-Length erróneo dan payload diseñado, el back-end cortaba antes de tiempo y trataba el resto como petisi baru, mengizinkan membuka permintaan penggunaan lainnya. Dengan biaya yang menyebabkan pengalihan kendali, dampaknya sangat besar terhadap data dan data yang masuk akal.
En la vertiente H2.TE, beberapa penyeimbang aceptaron tanpa syarat Transfer-Encoding: terpotong dan downgrade dan diprioritaskan di depan Content-Length yang disuntikkan ke front-end. Hasil: menutup langkah sebelumnya dan meminta petisi kedua, karena dampak dari kode OAuth yang telah dikeluarkan dari JS melalui pengalihan dan secara estetika.
Otro patrón potente es la penyalaan kabel selama downgrade menggunakan CRLF adalah keberanian dari cabecera H2. Dalam ciertos CDN, izin ini diperkenalkan Transfer-Encoding: terpotong al volcarlo a H1 y desencadenar H2.TE dengan keracunan cache yang terus-menerus, logrando mengontrol halaman-halaman yang disajikan dari cache.
Varian H2.X por permintaan pemisahan aparece cuando, al degradar, el front-end menyisipkan \r\n\r\n dari cierre de cabeceras y convierte tu prefijo en una petición completa. Jika Anda mengamati efek yang mendominasi: setiap pengguna menerima jawaban yang dituju sebelumnya, dengan paparan PII dan cookie sesi. Beberapa orang bermaksud melakukan hal yang tidak lengkap melalui cara yang sama inyección en pseudo-cabeceras o bloquear CRLF pero no LF suelto, yang berarti itu bisa dieksploitasi.
Tuneles de petición (permintaan terowongan): konfirmasi dan eksplorasi
Hay front-ends que no reutilizan conexiones di back-end atau politik aplikasi 1:1 dengan klien. Dalam skenario ini, tidak dapat dimasukkan ke dalam petisi berikutnya dan teknik konfirmasi klasik gagal. Itu dia túnel de petición: memasukkan permintaan kedua ke dalam perjalanan yang sama obtener dos respuestas del back-end.
Konfirmasi dengan H1 itu ambigu gabungan respons adalah normal dan tetap hidup. Con H2, si ves cabeceras HTTP/1 incrustadas en el cuerpo de la respuesta H2, ini adalah pekerjaan yang dilakukan oleh algodón. Masalah tambahan: beberapa front-end hanya satu byte yang dapat dibaca seperti yang ditunjukkan pada Content-Length de la primera respuesta, okultando la segunda.
Solusi praktis yang paling berfungsi adalah cambiar a HEAD dalam permintaan yang terlihat, itu adalah jawaban pertama yang harus dilakukan solo cabeceras. Esto hace que el front-end sadarlah dan mulailah memulai jawaban keduaJika sebagai tambahan lagu permintaan kedua tidak valid, jawaban atas kesalahan tersebut mungkin akan hilang sebelum dan memudahkan deteksi. Sepuluh paciencia: por kepekaan temporal, Anda dapat memerlukan berbagai tujuan.
Untuk mengeksplorasi sebenarnya, pusatkan rambut bagian dalam yang merupakan perangkat front-end (identidad del usuario, claves internas, routing). Dengan permintaan terowongan terowongan melewati penulisan ulang/perlindungan dan colarlas sin filter. Jika Anda tidak mengenal nama-nama Anda, gunakanlah alat seperti Param Miner, yaitu bisa adivinar cabeceras internas untuk perbedaan dalam jawaban ketika melalui jalur melalui terowongan.
Termasuk tanpa masalah, bisa memprovokasi penghapusan penyelamatan karena tidak melakukan upaya apa pun: jika bagian depan adalah bagian muatan Anda yang merupakan cabecera, masukkan internal Anda ke media; kembali dapat dilakukan seperti bagian dari parameter Anda reflejarte esos valores. Teknik ini akan berguna juga ketika saluran tersebut digunakan dan solo recuperas una respuesta.
Dalam kondisi yang menguntungkan, salurannya mengizinkannya keracunan cache avanzado: menggunakan HEAD, mezclas cabeceras de una respuesta con Lokasi reflektor yang lain dan mengikuti para pelaut interpreten el contenido seperti HTML/JS, kontrol tetap ada pada cacheadas.
Primitif tambahan: duplikat, :skema dan pembagian nama
HTTP/2 mengizinkan skenario yang tidak dapat diperbaiki di H1: dia mengunjungi layanan tersebut aceptan múltiples :path dan menggunakan cara lain yang tidak konsisten, singkatnya melalui itu desvío de ruta. Juga ada yang hidup berdampingan :otoritas dan Host; al poder faltar uno u otro, muncul ataques de Host header ubah seperti yang bisa Anda lakukan untuk menyelamatkan tujuan Anda.
La pseudo-cabecera :skema hanya perhatian. Beberapa sistem yang digunakan untuk membangun URL dengan cara yang cerdik; jika Anda dapat menulis byte arbitrarios, inyectas prefijos de URL, jalur perubahan dan kesempatan envenenas cachés o memprovokasi SSRF jika Anda menggunakan para rutear la petición aguas abajo.
Teknik lainnya adalah divisi nama cabecera izinkan poin-poin itu dengan nama yang sama. Tidak ada kemungkinan umum untuk melakukan desinkronisasi karena penurunan versi ke versi lainnya : final, pero sí favorece serangan Host ketika para pelayan mengabaikan apa yang ada di puerto. Jika dia kembali tolera rarezas, Anda dapat membatalkan baris-baris petisi yang valid inyectando espacios en :metode (amati dengan kombinasi mod_proxy) untuk menghindari blok rute.
Pada akhirnya, ada back-end yang sangat berguna lipatan garis dan H1. Jika front-end menerima nama-nama cabecera yang empiezan con espacio y no ordena cabeceras, puedes menginfeksi cabeceras posteriores (termasuk internas). Jika Anda melihat contohnya di sana Permintaan-Id mencerminkan terminal yang memuat data yang dimasukkan di tengah kabel con ruang awal.
Perangkat, aliran pekerjaan, dan truk produksi
Para automatizar, existe un tumpukan HTTP/2 disederhanakan dalam Turbo Intruder yang mengubah perhatian H1 menjadi H2 dan menerapkan peta karakter yang berguna untuk eksploitasi: ^ → \r, ~ → \n, ` → :. Anda bahkan bisa sobrescribir pseudo-cabeceras diumumkan sebagai cabeceras H1 ficticias dan dikontrol seperti downgrade pada layanan yang rentan. Untuk memeriksa panggilan balik dan mendeteksi peningkatan interaksi yang dapat dilakukan usar Burp Collaborator en flujos automatizados.
Jika tumpukan H2 minimalis tidak akan berfungsi dengan baik dengan beberapa tujuan, maka bisa panggil tumpukan Burp dari Turbo Intruder (Engine.BURP2), yang lebih toleran terhadap perilaku yang jarang. Burp Scanner dan ekstensi seperti itu Penyelundup Permintaan HTTP ya deteksi terintegrasi dari varian ini (termasuk yang lainnya túnel con HEAD), y Param Miner ayuda a descubrir cabeceras internas por diferencias de respuesta.
Ketika keadaan stabil, waspadalah la pemanfaatan kembali koneksi: beberapa target menyerang petisi pertama dengan cara yang berbeda atau jika terhubung dengan soket yang rusak. Dan Pengulang Sendawa bisa nonaktifkan penggunaan ulang H2, y en Turbo Intruder ajustar permintaanPerKoneksi untuk menghindari efek sisa distorsi pada pruebas Anda.
Di antarmuka aktual Burp (nuevos Inspectores), el mengontrol versi HTTP adalah dengan Meminta atribut arriba ala derecha. Ubah metode ini menjadi sesuatu yang Anda inginkan tidak memiliki efek apa yang terjadi dalam versi antiguas; sekarang Anda harus melakukan semuanya dari tampilan Inspektur dan logika protokol.
Latihan dengan Burp: CRLF dengan nama cabecera dan tunel a /admin
mulai dengan a MENDAPATKAN / en Repeater, sube a H2 en Atribut Permintaan dan membuat undang-undang arbitrase. Dan itu nama, inyecta un CRLF para colar un tuan rumah adicional, por ejemplo: foo: bar\r\nHost: abc dan bagaimana keberanian pon algo inocuo. Jika jawabannya adalah reacciona a tu Host inyectado, has confirmado una penyambutan CRLF melalui nama cabecera.
Lokalkan titik akhir yang mencerminkan parameter (seperti suatu Cari). Ubah metode ini dengan klik berikut ini (Ubah metode permintaan) dan konfirmasikan apa yang Anda lakukan berfungsi dengan pencarian POST en el cuerpo. Sekarang, dalam cabecera arbitraria, termasuk dalam Content-Length grande dan segundo parámetro search lakukan CRLF ganda, misalnya: foo: bar\r\nContent-Length: 500\r\n\r\nsearch=x.
Rellena el cuerpo utama dengan data relleno telah mencapai penyelundup Content-Length. Jika Anda iri, aplikasi tersebut mencerminkannya cabeceras tambahan untuk front-end (cookie sesi, tandai SSL y, yang penting, una clave única de front-end) dentro de la respuesta.
Cambia el método visible a KEPALA y en la cabecera maliciosa smugglea una petición GET al panel administrasi dengan cabeceras internas yang memiliki murid: \r\n\r\nGET /admin HTTP/1.1\r\nX-SSL-VERIFIED: 1\r\nX-SSL-CLIENT-CN: administrator\r\nX-FRONTEND-KEY: TU-CLAVE\r\n\r\n. Si recibes un error de byte tidak mencukupi, apunta a un recurso con cuerpo más corto (misalnya, /login) para que el front-end sadarlah dan muestre el inicio de la segunda respuesta en el cuerpo H2.
Jawaban ini mungkin dapat melokalkan administrasi URL yang masuk akal (misalnya, /admin/delete?username=carlos) Dan memperbarui rute petisi penyelundupan. Meskipun jawaban terlihat mungkin ada kesalahan, la acción se ejecuta karena telah melalui saluran melalui back-end dengan kredensial internal yang benar.
Ini contoh kumpulan ide yang bervariasi: CRLF dengan nama cabecera di H2, penyalahgunaan Content-Length dan turunkan versi, konfirmasi con KEPALA dan penggunaan rambut bagian dalam nyalakan di bagian depan untuk menyalakan panel pembatas.
Kombinasi pengetahuan protokol, Inspector de Burp para H2, dan teknik desinkronisasi memungkinkan Anda memuat vektor yang darinya penyelundupan clasico reimaginado sampai keracunan de cache persisten, melalui fugas de PII dan menjalankan JavaScript di situs-situs perfil lainnya. Dengan penyesuaian yang baik (protokol karena kerusakan, pemanfaatan kembali koneksi, penggantian ALPN) dan praktik dengan Repeater dan Inspektur, kontrol tender nyata tentang bagaimana melalui petisi kami dan bagaimana jika Anda melakukan push-up di antara topi ketika Anda membuka HTTP/2 dan HTTP/1.
