HTTP2明文通信工具h2csmuggler

如何测试？

该工具适用于任何一个能够转发h2c更新Header的代理终端节点。因为h2c本身理应只在明文通信信道上执行，在HTTPs服务中进行检测的话一般结果都会报真阳性。

相反，HTTP服务则有可能产生假阳性结果。比如说，启用了h2c的代理可能会直接响应更新Header，而不是将其转发至一个h2c后端。

广大研究人员可以使用--scan-list选项来测试一个或多个Web服务器以寻找受影响的proxy_pass终端节点。建议大家使用一个目录列表来进行目录枚举，比如说下面这个URL文本文件（urls.txt）：

https://www.example.com/

https://www.example.com/api/

https://www.example.com/auth/

https://www.example.com/admin/

https://www.example.com/payments/

...omitted for brevity...

下面的命令将使用h2cSmuggler扫描urls.txt，并定义扫描线程数量：

./h2csmuggler.py --scan-list urls.txt --threads 5

或者，也可以直接使用下列命令扫描单个节点：

./h2csmuggler.py -x https://www.example.com/api/ --test

工具利用

当我们识别出了一个受影响节点之后，我们就可以利用它来进行信息传输了。现在，我们可以访问或爆破一台后端服务器的内部终端节点，然后提供自定义的语句或Header。在下面的例子中，我们将演示如何利用h2c的数据隐藏功能来绕过代理拒绝规则，并访问内部/flag终端节点。

工具依赖

该工具唯一的依赖组件就是Python hyper-h2库，安装代码如下：

pip3 install h2