# HTTP request smuggling
## What is HTTP request smuggling?
Theo định nghĩa ở portswigger thì HTTP request smuggling là kỹ thuật can thiệp vào cách trang web xử lý trình tự của HTTP request mà được nhận từ một hoặc nhiều người dùng. Nói dễ hiểu hơn là ***`HTTP request smuggling (HRS) là một kỹ thuật tấn công nhằm vào các HTTP server (web server, proxy server). Bất cứ khi nào một HTTP request của client được phân tích bởi nhiều hơn một hệ thống thì đều có khả năng bị HRS.`***
Lỗ hổng này thì thường rất nguy hiểm, nó cho phép kẻ tấn công có thể bypass secuirty controls, đạt được như truy cập trái phép tới các data nhạy cảm hoặc can thiệp trực tiếp tới ứng dụng người dùng khác.
## What happens in an HTTP request smuggling attack?
Ngày nay các trang web thường dùng các chuỗi máy chủ HTTP giữa người dùng và ứng dụng logic cuối cùng. Người dùng gửi request tới một máy chủ front-end (đôi khi có thể gọi là load balancer hoặc reverse proxy) và server này sẽ gửi request tới một hoặc nhiều sever back-end.
Như trên hình ảnh thì kẻ tấn công sẽ gửi một request phụ chèn thêm vào request chính, khai thác từ việc xử lý bất đồng bộ của server thì dẫn tới lỗ hổng HRS như trên.
## How do HTTP request smuggling vulnerabilities arise?
Hầu hết lỗ hổng HRS xảy ra do HTTP specification cung cấp hai cách để chỉ định nơi một request kết thúc, nó rõ ra là trong gói tin HTTP có hai header: `Content-Length` và `Transfer-Encoding`
1. Content-Length:
* Content-Length là một header HTTP được sử dụng để chỉ định kích thước (đơn vị byte) của nội dung yêu cầu hoặc phản hồi.
* Nó được sử dụng trong các yêu cầu HTTP có phương thức POST, PUT, PATCH để xác định kích thước của dữ liệu gửi đi.
* Ví dụ: Content-Length: 11. Header này cho biết rằng nội dung yêu cầu 11 byte.
{% code overflow="wrap" %}
```http
POST /search HTTP/1.1
Host: normal-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 11
q=smuggling
```
{% endcode %}
2. Transfer-Encoding:
* Transfer-Encoding là một header HTTP dùng để chỉ định cách mã hóa và truyền tải nội dung yêu cầu hoặc phản hồi qua mạng.
* Nó được sử dụng để hỗ trợ truyền tải nội dung dưới nhiều dạng mã hóa khác nhau như chunked, gzip, deflate, vv.
* Ví dụ: Transfer-Encoding: chunked. Header này cho biết rằng nội dung yêu cầu hoặc phản hồi được truyền tải dưới dạng các phần (chunks) với độ dài được chỉ định cho mỗi phần.
{% code overflow="wrap" %}
```http
POST /search HTTP/1.1
Host: normal-website.com
Content-Type: application/x-www-form-urlencoded
Transfer-Encoding: chunked
b
q=smuggling
0
```
{% endcode %}
## How to perform an HRS attack
Tấn công **HTTP Request Smuggling** nói chung đều xoay quanh đến hai header là **Content-Length** và **Transfer-Encoding** trên cùng một gói tin HTTP để máy chủ **front-end** và **back-end** xử lý yêu cầu theo cách khác nhau. Sau đây là một số “combo” thường gặp của **HTTP Request Smuggling**:
* **CL.TE**: máy chủ **front-end** sử dụng header **Content-Length** và máy chủ **back-end** sử dụng header **Transfer-Encoding**.
* **TE.CL**: máy chủ **front-end** sử dụng header **Transfer-Encoding** và máy chủ **back-end** sử dụng header **Content-Length**.
* **TE.TE**: máy chủ **front-end** và **back-end** đều hỗ trợ header **Transfer-Encoding**, nhưng một trong hai loại máy chủ không xử ý được header này, do gói tin HTTP đã bị làm xáo trộn header theo một cách nào đó.
## Lab 1: [HTTP request smuggling, basic CL.TE vulnerability](https://portswigger.net/web-security/request-smuggling/lab-basic-cl-te)
{% hint style="info" %}
This lab involves a front-end and back-end server, and the front-end server doesn't support chunked encoding. The front-end server rejects requests that aren't using the GET or POST method.
To solve the lab, smuggle a request to the back-end server, so that the next request processed by the back-end server appears to use the method `GPOST`.
{% endhint %}
Ở bài này chúng ta tấn công dạng `CL.TE` thì payload sẽ kiểu như này:
Đầu tiên chúng ta chuyển HTTP/2 -> HTTP/1.1
Chúng ta sẽ sửa đổi độ dài của Content với giá trị là 6 bắt đầu từ giá trị 0 tới G.
Ở đây dễ hiểu rằng khi gửi request đầu tiên thì server sẽ hiểu rằng body gồm 6 byte và xử lý nhưng khi xử lý tới `0` thì đây là: `một chunk rỗng, được sử dụng để đánh dấu kết thúc của body request.`
Khi đó ký tự G sẽ được ghép với request tiếp theo là G->GPOST. Chúng ta sẽ sang lab tiếp theo để làm một dạng khác!
## Lab2: [HTTP request smuggling, basic TE.CL vulnerability](https://portswigger.net/web-security/request-smuggling/lab-basic-te-cl)
Ở lab thì phía server front-end sử dụng `Transfer-Encoding` header và server back-end sử dụng `Content-Lenght` header. Khi đó chúng ta có thể đoạn HTTP Request Smuggling như sau:
```http
POST / HTTP/1.1
Host: vulnerable-website.com
Content-Length: 3
Transfer-Encoding: chunked
8
SMUGGLED
0
```
**Chunked Transfer Encoding** là một cơ chế được sử dụng trong giao thức HTTP/1.1 để gửi dữ liệu từ máy chủ đến client. Cơ chế này cho phép máy chủ gửi dữ liệu trong nhiều phần hoặc "chunks", mỗi chunk được gửi riêng lẻ. Điều này có thể hữu ích trong các tình huống mà kích thước của dữ liệu không được biết trước hoặc dữ liệu cần được tạo và gửi đồng thời.
Mỗi chunk bao gồm kích thước của chunk (tính bằng số byte), sau đó là dữ liệu thực sự, và cuối cùng là một dòng mới. Phiên truyền dữ liệu kết thúc bằng một chunk có kích thước bằng 0.
Mã hóa chunked được chỉ định trong header HTTP bằng cách sử dụng trường `Transfer-Encoding`:
```
Transfer-Encoding: chunked
```
**Ví dụ:**
Giả sử máy chủ muốn gửi chuỗi sau: "Hello, World!"
Trước tiên, chuỗi này được chia thành các chunks. Trong ví dụ này, chúng tôi sẽ chia nó thành 2 chunks: "Hello, " và "World!". Mỗi chunk sau đó được gửi đi kèm với kích thước của nó (tính bằng số byte hexa).
Gói tin HTTP có thể trông như sau:
```
HTTP/1.1 200 OK
Content-Type: text/plain
Transfer-Encoding: chunked
7\r\n
Hello, \r\n
6\r\n
World!\r\n
0\r\n
\r\n
```
Ở đây, `7` và `6` là kích thước của hai chunks (tính bằng số byte), và `0` kết thúc phiên truyền dữ liệu. `\r\n` là ký tự xuống dòng CR-LF (Carriage Return-Line Feed).
Lưu ý: `/r/n` ở cuối cùng đánh dấu kết thúc request.
Sơ qua như thế rồi chúng ta sẽ vào bài lab luôn có description như sau:
{% hint style="info" %}
Content-length: 4, nghĩa là có 4 kí tự `59\r\n` → Phần còn lại sẽ được gán vào đầu request sau.
Sau đó, yêu cầu chứa dữ liệu gửi đi. Dữ liệu này được chia thành hai phần:
1. Phần dữ liệu khối đầu tiên:
* 59: Đây là độ dài của dữ liệu khối đầu tiên (59 byte).
* GPOST / HTTP/1.1: Đây là nội dung của dữ liệu khối đầu tiên. Trong trường hợp này, dữ liệu là "GPOST / HTTP/1.1".
2. Phần dữ liệu khối thứ hai:
* Content-Type: application/x-www-form-urlencoded
* Content-Type header xác định kiểu dữ liệu của dữ liệu được gửi đi. Trong trường hợp này, dữ liệu được gửi dưới dạng "application/x-www-form-urlencoded", có nghĩa là dữ liệu được mã hóa theo định dạng URL-encoded.
* Content-Length: 9
* Content-Length header xác định độ dài của dữ liệu khối thứ hai (9 byte).
* x: Đây là nội dung của dữ liệu khối thứ hai. Trong trường hợp này, dữ liệu là "x".
Sau phần dữ liệu khối thứ hai, yêu cầu kết thúc bằng số 0, chỉ định kết thúc dữ liệu mã hóa chunked.
{% code overflow="wrap" %}
```
Đoạn này giải thích một yếu tố thú vị trong yêu cầu. Yêu cầu này có thể được giải quyết bằng cách sử dụng tiêu đề "Content-Length: 9" được chỉ định trong lần gửi dữ liệu thứ hai. Tuy nhiên, bạn luôn nhận được một phản hồi 200 và một phản hồi bình thường từ phía máy khách. Điều này xảy ra bởi vì máy chủ phía sau sẽ bắt yêu cầu với tiêu đề "CL: 9" và xử lý nó ngay lập tức vì nó là một yêu cầu hoàn chỉnh. Không có hàng đợi xảy ra. Để kích hoạt hàng đợi, chúng ta cần làm cho máy chủ phía sau đợi ít nhất một ký tự nữa trước khi phát hành yêu cầu GPOST. Bằng cách chỉ định một Content-Length dài hơn so với dữ liệu được cung cấp (trong yêu cầu gửi thứ hai), máy chủ phía sau sẽ đợi thêm dữ liệu trước khi xử lý và phát hành yêu cầu.
```
{% endcode %}
{% endhint %}
## Lab3: [HTTP request smuggling, obfuscating the TE header](https://portswigger.net/web-security/request-smuggling/lab-obfuscating-te-header)
Ở đây server front-end và back-end đều hỗ trợ `Transfer-Encoding` header, nhưng một trong những servers có thể được yêu cầu không xử lý nó bằng cách làm xáo trộn header này
Ví dụ, một máy chủ web có thể thực hiện "obfuscating the TE header" bằng cách thay đổi TE header thành một giá trị ngẫu nhiên hoặc mã hóa TE header bằng cách sử dụng một thuật toán mã hóa đặc biệt. Điều này có thể làm cho TE header trở nên khó hiểu hoặc che giấu thông tin về các phương pháp mã hóa thực sự được hỗ trợ bởi máy chủ web.
{% code overflow="wrap" %}
```http
Transfer-Encoding: xchunked
Transfer-Encoding : chunked
Transfer-Encoding: chunked
Transfer-Encoding: x
Transfer-Encoding:[tab]chunked
[space]Transfer-Encoding: chunked
X: X[\n]Transfer-Encoding: chunked
Transfer-Encoding
: chunked
```
{% endcode %}
Chúng ta sẽ đi vào bài lab này luôn, miêu tả của lab này như sau:
Chúng ta sẽ xem xét rằng `Transfer-Encoding` vẫn nhận nhưng sau 2-3 lần request thì header này không được phía back-end xử lý. Xúc này chúng ta sẽ thêm một header tương tự như này với một giá trị bất kỳ.
Chúng ta sẽ giải thích qua tại sao phải double `Transfer-Encoding` header. Đầu tiên nếu thay đổi vị trí giá trị của header này thì nó sẽ trả về lỗi 500. Có nghĩa là phía front-end hoặc phía back-end không xử lý được và quan trọng không sử dụng được `Content-Length`
Khi đó cần sắp xếp lại giá trị và để backend khi xử lý TE sẽ không xác định được và chuyển qua dùng CL chung như hình trên.
Khi đó một request khác từ người dùng khác sẽ được gán với ký tự hoặc request tiếp theo của kẻ tấn công.
Vậy thì chúng ta sẽ dùng kỹ thuật Lab2 để solve lab này.
## Finding HTTP request smuggling valnerabilities.
Sau 3 lab chứng ta sẽ xem xét lại cách để tìm lỗ hổng này:
### Tìm lỗ hổng dạng CL.TE sử dụng kỹ thuật timming.
Nếu một ứng dụng chứa lỗ hổng có variant CL.TE, thì chúng ta gửi request như sau:
```http
POST / HTTP/1.1
Host: vulnerable-website.com
Transfer-Encoding: chunked
Content-Length: 4
1
A
X
```
Khi front-end server sử dụng `Content-Length` header, nó sẽ chỉ chuyển tiếp một phần của request này mà bỏ qua X. Back-end sẽ sử dụng `Transfer-Encoding` header.
Nhìn vào hình ảnh chúng ta sẽ rõ khi gủi giá trị thì ở FE dùng CL với length là 6 khi đó nó sẽ drop X đi và gửi qua backend và khi BE nhận thì nó giữ time để nhận X còn thiếu và đợi lúc tới timeout trả về.
### Tìm lỗ hổng dạng TE.CL
Nếu lỗ hổng HRS có variant TE.CL thì có thể gửi request theo như này:
```http
POST / HTTP/1.1
Host: vulnerable-website.com
Transfer-Encoding: chunked
Content-Length: 6
0
X
```
Ở dạng này thì front-end sử dụng `Content-Length` còn `back-end` sẽ sử dụng `Content-Length`
Khi FE có TE xử lý chunk đầu size bằng 0 sau đó là một dòng trống, có nghĩa nó hiểu kết thúc và bỏ qua X gửi qua BE và ở BE dùng CL với length chung là 6 mà dữ liệu tới BE chỉ có 5 byte và BE sẽ đợi byte thứ 6, sau một thời gian nó quyết định timeout.
Mình đã giải thích qua các thức và cơ chế của hai variant CL.TE và TE.CL, tiếp theo chúng ta sẽ tới với lab tiếp theo.
## Lab4: [HTTP request smuggling, confirming a CL.TE vulnerability via differential responses](https://portswigger.net/web-security/request-smuggling/finding/lab-confirming-cl-te-via-differential-responses)
Về lab này thì chúng xác định rằng nó là variant CL.TE thì chúng ta sẽ gửi payload như sau:
POST /search HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 49
Transfer-Encoding: chunked
e
q=smuggling&x=
0
GET /404 HTTP/1.1
Foo: x
