学完、打完后的复习

HTTP 1

这部分比较简单，直接略过

HTTP2请求走私

首先要了解HTTP2的结构，与HTTP1之间的一些差异

HTTP2中不再使用CRLF来作为字段的边界限定，而是在二进制中直接通过长度、名字、值长度、值，来确认边界

而这里教导的主要场景是在前端代理使用HTTP2，而后端使用HTTP 1.1

虽然HTTP2并不会处理Content-Length和Transfer-Encoding，但在上述场景下，前端代理将把http2转为http1.1然后转发给后端处理。

所以一旦我们为http2请求添加CL或TE，并在post form添加http 1.1的请求头，即常规http1的请求走私打法，前端代理将http2转http1.1交给后端后，我们的走私请求将会逃出来

CRLF

除了CL和TE，还有另一种方法在上述场景中实现请求走私，就是CRLF，通过在http2请求头中的请求头里面注入CRLF并构造走私请求payload，那么在前端代理转发给后端时依然能够实现http请求走私

在某些代理实现中，每个用户将获得自己的后端连接，以将他们的请求与其他用户分开。每当发生这种情况时，攻击者将无法影响其他用户的请求。乍一看，如果局限于我们自己的连接，我们似乎做不了多少事情，但我们仍然可以通过前端代理走私请求并取得一些结果。由于我们只能将请求走私到我们的连接，因此这种情况通常称为请求隧道。

泄露内部标头

这一点也非常简单，前提是存在回显点，后面的靶机中有这个例子

绕过前端代理限制

同上，前端代理做了访问控制，但后端没有，我们就可以通过请求走私来绕过前端代理，将走私请求送到后端，此时我们再次发起http请求 接住走私请求以获得走私的响应

WebSocket 走私

第一种就是简单的欺骗前端代理

Sec-WebSocket-Version: 777
Connection: Upgrade
Upgrade: websocket

将Sec-WebSocket-Version字段设为目标不支持的版本，此时，前端代理不验证后端是否升级websocket成功（code 101）和失败（code 426），所以只有前端代理与我们使用websocket进行通信，而前端代理到后端依然使用http进行通信

我们就可以在websocket中携带恶意http请求头以实现走私

请注意，某些代理甚至不需要存在 WebSocket 端点即可使该技术发挥作用。我们所需要做的就是欺骗代理，让其相信我们正在建立与 WebSocket 的连接，即使事实并非如此。看看如果您尝试发送以下有效负载会发生什么（请确保在 Burp 中的有效负载后添加两个换行符）

绕过安全代理

那么，如果前端代理会验证后端是否升级成功（code 101），在这里，thm教导我们可以寻找SSRF来帮助我们做到这一点。

通过ssrf访问我们托管的http服务器，当我们触发ssrf时，目标访问我们的恶意http服务器，我们就可以控制我们的http服务器返回 code 101，表示升级成功，此时前端代理就会认为升级成功，后续攻击者到前端代理都将使用websocket通信，而事实上后端仍然使用http

HTTP 浏览器异步

keep-alive: 允许对多个 HTTP 请求和响应重复使用单个 TCP 连接

http 管道： 如果后端服务器启用了 HTTP 管道，它将允许同时发送两个请求和相应的响应，而无需等待每个响应。区分两个请求和一个大请求的唯一方法是使用 Content-Length 标头

HTTP 浏览器异步利用链接 XSS，也比较简单，略过

El Bandito

这里是打完靶机后的复盘，只有细节部分

nmap

我们在8080中有一个SSRF

8080存在websocket走私，前端代理会验证websocket是否升级成功

结合前面的ssrf，我们就可以完全照搬前面thm教导的技巧来绕过前端代理的验证

最后payload如下图，我们可以得到一组凭据以及靶机的第一个flag：

最后回到80端口，存在http2请求走私，通过CL或者是http2请求头CRLF注入来实现走私，结合/send_message端点可以发送消息，借此通过走私来获取受害者标头，通过/getMessages来获取回显信息。

最后一个flag则在标头中