回车换行（CRLF）注入攻击是一种当用户将CRLF字符插入到应用中而触发漏洞的攻击技巧。CRLF字符（%0d%0a）在许多互联网协议中表示行的结束，包括HTML，该字符解码后即为 r n。这些字符可以被用来表示换行符，并且当该字符与HTTP协议请求和响应的头部一起联用时就有可能会出现各种各样的漏洞，包括http请求走私（HTTP RequestSmuggling）和http响应拆分（HTTP Response Splitting）。

就http请求走私而言，这种漏洞通常出现在当服务器接收http请求并将该请求转发给其他服务器时，比如说代理和防火墙，这种漏洞将造成如下问题：

缓存毒化--攻击者可以修改缓存中的内容然后不显示正常页面而显示恶意页面。
防火墙逃逸--攻击者通过构造数据包来逃避安全检查，通常会利用CRLF和构造超大的数据包。
请求劫持--攻击者可以通过该利用获取HttpOnly的cookie和http认证数据，类似于xss但是不需要攻击者和黑客进行交互。

再说一下http响应拆分，攻击者通过插入CRLF字符后就可以实现在响应头部中插入任意数据，控制响应的数据内容等。

尽管这些漏洞存在，但是实际上并不是很好利用。我研究了非常久，接下来的讲解将会让你理解服务端请求走私会是什么样的。

1、Twitter的HTTP响应拆分

难度：高

厂商：https://twitter.com/

报告地址：https://hackerone.com/reports/52042

报告日期：2015年4月21日

奖金：$3,500

2015年的4月，Twitter收到了一个漏洞报告，报告称黑客可以通过该漏洞在用户向Twitter发起的请求数据中插入任意cookie值。

用户在访问https://twitter.com/i/safety/report_story（用户可以在这里举报广告）地址时，服务器会获取参数reported_tweet_id的值，并将其设置到cookie中，最后导致了漏洞。

实际上Twitter是有进行校验的，它会禁止用户提交换行符0x0a（%0a）。但Twitter在处理过程中，会先验证是否提交了禁止的字符，之后如果提交的数据是UTF-8编码过的，则会将其转为原始的unicode码后去掉一些无用字符后再取剩下的字节，正是因为这样的逻辑导致了绕过。

比如说用户提交的是：%E5%98%8A，这个不包含换行符所以不会被拦截，服务器接收到后将其转成原始的unicode码：U+560A，最后取了0A，这时候就变成换行符了。

绕过了CRLF拦截后，通过插入javascript语句来执行xss攻击效果会更好！比如如下链接：

https://twitter.com/login?redirect_after_login=https://twitter.com:21/%E5%98%8A%E5%98%8Dcontent-type:text/html%E5%98%8A%E5%98%8Dlocation:%E5%98%8A%E5%98%8D%E5%98%8A%E5%98%8D%E5%98%BCsvg/onload=alert%28innerHTML%28%29%E5%98%BE

注意上面的%E5%E98%8A，会经过服务器处理后返回的数据就会变成下面的html响应的形式：

https://twitter.com/login?redirect_after_login=https://twitter.com:21/（CRLF）
content-type:text/html（CRLF）
location:<svg/onload=alert(innerHTML)>

在插入换行符后，添加了可执行的javascript，最后可盗取用户的会话数据。

小贴士：对渗透测试而言，观察能力和良好的技能都是缺一不可的。

2、v.shopify.com响应拆分

难度：中

厂商：https://v.shopify.com/

报告地址：https://hackerone.com/reports/1064272

报告日期：2015年12月22日

奖金：$500

shopify会在后台中记录你上次访问的是哪一个商店，然后将其放置在cookie中，通过这个方式：/last_shop?SITENAME.shopify.com。

然后在2015年的12月份，漏洞提交者发现Shopify没有对参数进行校验，以至于白帽通过Burp Suite抓包提交%0d%0a就能造成CRLF漏洞，部分链接为：/last_shop?xxx.shopify.com%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2019%0d%0a%0d%0a<html>deface</html>，以下是截图：

在上面的链接中，%20是空格，%0d%0a是换行字符。结果，浏览器收到了两个头部并选择渲染了后者，最后可导致各种漏洞，比如xss。

小贴士：要十分细心观察我们提交了哪些参数，然后是否将数据放到了响应头部中。在这个例子中，shopify从链接中获取参数last_shop的值并将其放在了cookie里，这才导致了CRLF漏洞。

来总结一下，对渗透测试而言，观察能力和良好的技能都是缺一不可的。知道字符的编码方式以及可能造成的漏洞是非常重要的一个渗透测试技巧。%0D%0A可以被用来测试服务器是否存在CRLF漏洞，如果存在漏洞，那就想办法深入一下，通过和xss联用来扩大战果。另一方面，如果服务器会对%0D%0A进行处理，那么你就需要思考一下你可以怎么对这些数据进行编码，然后测试服务器是否会对数据进行双重解码。