HackTricksHTTP Connection Request Smuggling
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
यह पृष्ठ संक्षेप, विस्तार और अद्यतन करता है PortSwigger के Browser-Powered Desync Attacks पर मौलिक शोध और HTTP/2 कनेक्शन-स्टेट दुरुपयोग पर बाद के कार्यों का। यह उन कमजोरियों पर ध्यान केंद्रित करता है जहाँ एक मूल केवल एक बार प्रति TCP/TLS कनेक्शन पर निर्धारित होता है, जिससे एक हमलावर को चैनल स्थापित होने के बाद एक अलग आंतरिक होस्ट पर "स्मगल" करने के लिए अनुरोध भेजने की अनुमति मिलती है।
Connection-State Attacks
First-request Validation
जब अनुरोधों को रूट किया जाता है, तो रिवर्स प्रॉक्सी Host (या HTTP/2 में :authority) हेडर पर निर्भर हो सकते हैं ताकि गंतव्य बैक-एंड सर्वर का निर्धारण किया जा सके, अक्सर उन होस्टों की एक व्हाइटलिस्ट पर निर्भर करते हैं जिन्हें पहुंच की अनुमति है। हालाँकि, कई प्रॉक्सियों में एक कमजोरी है जहाँ व्हाइटलिस्ट केवल कनेक्शन में पहले अनुरोध पर लागू होती है। परिणामस्वरूप, हमलावर पहले एक अनुमत अनुरोध भेजकर और फिर उसी अंतर्निहित कनेक्शन का पुनः उपयोग करके आंतरिक वर्चुअल होस्टों तक पहुँच सकते हैं:
GET / HTTP/1.1
Host: allowed-external-host.example
GET /admin HTTP/1.1
Host: internal-only.example
First-request Routing
कई HTTP/1.1 रिवर्स प्रॉक्सी एक आउटबाउंड कनेक्शन को एक बैक-एंड पूल से केवल पहले अनुरोध के आधार पर मैप करती हैं जो वे फॉरवर्ड करती हैं। उसी फ्रंट-एंड सॉकेट के माध्यम से भेजे गए सभी बाद के अनुरोध चुपचाप फिर से उपयोग किए जाते हैं, उनके होस्ट हेडर की परवाह किए बिना। इसे क्लासिक Host header attacks जैसे पासवर्ड-रीसेट पॉइज़निंग या web cache poisoning के साथ मिलाकर अन्य वर्चुअल होस्ट्स तक SSRF-जैसी पहुंच प्राप्त की जा सकती है:
GET / HTTP/1.1
Host: public.example
POST /pwreset HTTP/1.1
Host: private.internal
tip
Burp Suite Professional ≥2022.10 में आप HTTP Request Smuggler → Connection-state probe को सक्षम कर सकते हैं ताकि इन कमजोरियों का स्वचालित रूप से पता लगाया जा सके।
2023-2025 में नया – HTTP/2/3 कनेक्शन कोलेसिंग दुरुपयोग
आधुनिक ब्राउज़र नियमित रूप से कोलेस HTTP/2 और HTTP/3 अनुरोधों को एकल TLS कनेक्शन पर तब करते हैं जब प्रमाणपत्र, ALPN प्रोटोकॉल और IP पता मेल खाते हैं। यदि एक फ्रंट-एंड केवल पहले अनुरोध को अधिकृत करता है, तो हर बाद का कोलेस्ड अनुरोध उस अधिकृतता को विरासत में लेता है – भले ही Host/:authority बदल जाए।
शोषण परिदृश्य
- हमलावर
evil.comको नियंत्रित करता है जो लक्ष्यinternal.companyके समान CDN एज नोड पर हल करता है। - पीड़ित का ब्राउज़र पहले से ही
evil.comके लिए एक खुला HTTP/2 कनेक्शन रखता है। - हमलावर अपने पृष्ठ में एक छिपा हुआ
<img src="https://internal.company/…">एम्बेड करता है। - चूंकि कनेक्शन पैरामीटर मेल खाते हैं, ब्राउज़र मौजूदा TLS कनेक्शन का पुनः उपयोग करता है और
internal.companyके लिए अनुरोध को मल्टीप्लेक्स करता है। - यदि CDN/राउटर ने केवल पहले अनुरोध को मान्य किया, तो आंतरिक होस्ट उजागर हो जाता है।
Chrome/Edge/Firefox के लिए PoCs James Kettle के टॉक “HTTP/2: The Sequel is Always Worse” (Black Hat USA 2023) में उपलब्ध हैं।
उपकरण
- Burp Suite 2023.12 ने एक प्रयोगात्मक HTTP/2 Smuggler इन्सर्शन पॉइंट पेश किया है जो स्वचालित रूप से कोलेसिंग और TE/CL तकनीकों का प्रयास करता है।
- smuggleFuzz (https://github.com/microsoft/smugglefuzz) – एक Python ढांचा जो 2024 में HTTP/2 और HTTP/3 पर फ्रंट-एंड/बैक-एंड डीसिंक वेक्टर को ब्रूट-फोर्स करने के लिए जारी किया गया।
शमन
- हर अनुरोध पर Host/:authority को फिर से मान्य करें, केवल कनेक्शन निर्माण पर नहीं।
- CDN/लोड-बैलेंसर पर उत्पत्ति कोलेसिंग को अक्षम करें या सख्ती से स्कोप करें (जैसे NGINX में
http2_origin_cnबंद)। - आंतरिक और बाहरी होस्टनाम के लिए अलग प्रमाणपत्र या IP पते लागू करें ताकि ब्राउज़र उन्हें कानूनी रूप से कोलेस न कर सके।
- जहां व्यावहारिक हो, हर अनुरोध के बाद connection: close या
proxy_next_upstreamको प्राथमिकता दें।
वास्तविक दुनिया के मामले (2022-2025)
| वर्ष | घटक | CVE | नोट्स |
|---|---|---|---|
| 2022 | AWS Application Load Balancer | – | होस्ट हेडर केवल पहले अनुरोध पर मान्य किया गया; नियम इंजन को पैच करके ठीक किया गया (SecurityLabs द्वारा प्रकट)। |
| 2023 | Apache Traffic Server < 9.2.2 | CVE-2023-39852 | जब CONFIG proxy.config.http.parent_proxy_routing_enable सेट किया गया था, तब HTTP/2 कनेक्शन पुन: उपयोग के माध्यम से अनुरोध स्मगलिंग की अनुमति दी। |
| 2024 | Envoy Proxy < 1.29.0 | CVE-2024-2470 | पहले स्ट्रीम के बाद :authority की अनुचित मान्यता ने साझा मेषों में क्रॉस-टेनेंट अनुरोध स्मगलिंग को सक्षम किया। |
पहचान चिट-शीट
- एक ही TCP/TLS कनेक्शन में विभिन्न Host या :authority हेडर के साथ दो अनुरोध भेजें।
- देखें कि क्या दूसरा उत्तर पहले होस्ट (सुरक्षित) या दूसरे होस्ट (कमजोर) से उत्पन्न होता है।
- Burp में:
Repeat → keep-alive → Send → Follow। - HTTP/2 का परीक्षण करते समय, एक विशिष्ट स्ट्रीम (ID 1) एक बेनिग होस्ट के लिए खोलें, फिर एक आंतरिक होस्ट के लिए एक दूसरा स्ट्रीम (ID 3) मल्टीप्लेक्स करें और एक उत्तर की तलाश करें।
संदर्भ
- PortSwigger Research – HTTP/2: The Sequel is Always Worse (Black Hat USA 2023)
- Envoy Security Advisory CVE-2024-2470 – अनुचित प्राधिकरण मान्यता
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।