一个HTTP请求,把网站打裂开了!

李志宽 等级 44 0 0
标签: iishttp请求

大家好,我是周杰伦,今天给大家看一段神奇的代码。

利用这几行神奇的代码,居然能把网站打崩溃,这是怎么一回事呢?

就是下面这个函数,根据传进来的开始和结束位置,读取文件数据:

char* Read(int fd, int start, int end) {
    unsigned int length = end - start + 1;
    if (length > 1024)
        return NULL;

    return ReadFile(fd, start, end);
}

函数中最大只支持一次读取1024个字节,所以增加了一个判断逻辑。

现在请大家思考一下,这个函数有没有什么问题?

---思---

---考---

---5---

---秒---

---钟---

来思考一下,假设我像这样来调用这个函数:

Read(0, 0, 4294967295);

会发生什么事呢?

你可能已经注意到了,这里传了一个很特殊的参数过去,这个数乍一看很大,远远超过了1024,按理说会通不过函数内部的检查对吧?

但事情不是这么简单,这个特殊的数字——4294967295,是32位无符号整数所能表示的最大范围。

但是请注意Read这个函数的参数,startend都是int型变量,把4294967295传递给end的时候,会被当作有符号的整数解析,也就是 -1 !

现在来看Read函数中计算长度的这行代码:

unsigned int length = end - start + 1;

计算结果就是-1 - 0 + 1 = 0!

length的结果会是0!

很自然逃过了下面对长度的检查:

if (length > 1024)
    return NULL;

上面这段代码不只是一个假想的模型,实际上,它曾经真实存在过!

它的漏洞编号是:CVE-2015-1635

这是一个微软的互联网服务器IIS中的一个漏洞,更要命的是,这个漏洞位于IIS处理HTTP请求的HTTP.sys驱动程序中。

你知道的,驱动程序是运行在操作系统内核之中,一旦内核驱动执行出现异常,那后果,轻则蓝屏崩溃,重则直接被攻击者远程执行代码,控制服务器!

在HTTP 1.1版本的协议中,可以通过请求头中的Range字段,请求或上传指定资源的部分内容,比如像这样:

GET /bg-upper.png HTTP/1.1
User-Agent: curl/7.35.0
Host: 127.0.0.1:8180
Accept: */*
Range: bytes=0-10

其中的Range字段格式如下:

Range: bytes=start-end

微软的IIS为了提高性能,将HTTP协议的解析放在了内核驱动HTTP.sys中实现。

而其中对range字段的处理,就存在我们文章开头的那个逻辑错误,不同的是,我们上面的那个示例是一个32位整数的版本,而IIS这个真实的漏洞是64位整数产生的问题,但原理是一样的。

通过向存在漏洞的IIS服务器发送对应的HTTP请求,即可将目标服务器打蓝屏,实现DOS——拒绝服务攻击。

这种攻击方式就是——整数溢出攻击。

接下来,咱们在搭建一个环境来验证一下。

在虚拟机中搭建一个IIS7的Web服务器: 一个HTTP请求,把网站打裂开了! 64位无符号整数能表示的最大数是:18446744073709551615,通过向服务器发送包含range参数的请求,有很大可能会导致服务器蓝屏。

使用神器metasploit来利用这个漏洞发起攻击: 一个HTTP请求,把网站打裂开了! 现在来看,服务器已经挂了: 一个HTTP请求,把网站打裂开了! 为什么是很大可能,而不是一定蓝屏呢,如何实现稳定把服务器打蓝屏呢?这就需要进一步了解这个漏洞更详细的情况。

实际上这个漏洞原理比文章开头的那个逻辑要更复杂一些,这里只是做了一个简单入门介绍,关于这个漏洞的更详细情况,大家可以看一下360大神MJ0011当年写的一篇技术分析(PS:有点硬核,想要看懂得反复多看几次):

《MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞分析》

https://blogs.360.cn/post/cve_2015_6135_http_rce_analysis.html

我们平时在编程的时候,一定要注意变量的数据类型,特别是涉及到数据类型转换的地方要格外留神。比如符号数与无符号数的互转,32位整数和64位整数的转换等等。

在处理外界传入的参数处理时,要慎之又慎,一个小小的变量类型可能就会给服务器计算机造成毁灭性打击。

收藏
评论区

相关推荐

HTTP 的本质?HTTP 和 RPC 的区别?
身为 Java Web 开发我发现很多人一些 Web 基础问题都答不上来。 上周我面试了一个三年经验的小伙子,一开始我问他 HTTP/1、HTTP/2相关的他到是能答点东西出来。 后来我问他:你怎么理解 HTTP 的,HTTP 的作用是什么? 他支支吾吾答不出来。 经过了一番引导交谈,他回答是用来客户端和服务端之间传输的。 我接着问那你知道什么是
Http协议详解
超文本传输协议 请求/响应报文 连接建立的流程 HTTP的特点 请求/响应报文 请求报文 (https://imghelloworld.osscnbeijing.aliyuncs.com/146ca2b87d6a82b2c5c101154d9
IIS是如何处理ASP.NET请求的
  英文原文:[Beginner’s Guide: How IIS Process ASP.NET Request](https://www.oschina.net/action/GoToLink?url=http%3A%2F%2Fabhijitjana.net%2F2010%2F03%2F14%2Fbeginner%25E2%2580%2599s-guid
HTTP 1.1与HTTP 1.0的区别
**HTTP 1.1****与HTTP 1.0的比较** 一个WEB站点每天可能要接收到上百万的用户请求,为了提高系统的效率,HTTP 1.0规定浏览器与服务器只保持短暂的连接,浏览器的每次请求都需要与服务器建立一个TCP连接,服务器完成请求处理后立即断开TCP连接,服务器不跟踪每个客户也不记录过去的请求。但是,这也造成了一些性能上的缺陷,例如,一个包含有
HTTP 错误 500.19
错误重现 ---- 往常习惯在web.config文件里添加配置节点默认文档,内容如下: <!-- web.config --> <configuration>   <system.webServer>     <defaultDocument>       <files>              <ad
HTTP协议
URI与URL有什么不同呢? URI:Universal Resource Identifier统一资源标志符 URL:Universal Resource Locator统一资源定位器 URI是用来唯一地确定资源的表示方式,只要资源能唯一确定,则可以算作一种URI URL是用定位的方式来确定资源的表示方式,比如常见的http://www.googl
HTTP协议图
#### 1.首部字段概述 先来回顾一下首部字段在报文的位置,HTTP 报文包含报文首部和报文主体,报文首部包含请求行(或状态行)和首部字段。 在报文众多的字段当中,HTTP 首部字段包含的信息最为丰富。首部字段同时存在于请求和响应报文内,并涵盖 HTTP 报文相关的内容信息。使用首部字段是为了给客服端和服务器端提供报文主体大小、所使用的语言、认证信息
HTTP报文
一、HTTP概述 -------- ### (一)什么是HTTP协议?   当在web页面输入url后,浏览器会向web服务器请求资源以显示web页面,而它们之间使用的就是HTTP协议(HyperText Transfer Protocol,超文本传输协议),浏览器就是基于HTTP协议进行文档传输的。 ### (二)HTTP协议的特点 #### 1、
HTTP第一篇【简单了解HTTP、与HTTP相关的协议】
为什么要学HTTP? ========== 我们绝大多数的Web应用都是基于HTTP来进行开发的。我们对Web的操作都是通过HTTP协议来进行传输数据的。 HTTP的诞生主要是为了能够**让文档之间相互关联,形成超文本可以互相传阅** 可以说,Http就是Web通信的基础,这是我们必学的。 Http基础概念 ======== 我们学计算机网络的时候
ArcGIS API for JavaScript 4.x 本地部署之Nginx法
> 上篇[ArcGIS API for JavaScript 4.x 离线配置之IIS法](https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fwww.cnblogs.com%2Fonsummer%2Fp%2F10217802.html)提到,如何用IIS配置ArcGIS jsAPI; > >
HTTP Error 500.0
 先上报错图 ![](https://oscimg.oschina.net/oscnet/c2fc5c735b6eb5fe3ba9125889c5106798b.png) 环境 Window Server 2008 r2 netcore 2.2 排错历程 看到这个错 我第一个想到netcore 安装问题 先检查了下环境 ![](https://
HTTP Methods
简介 --   HTTP 定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作, 虽然他们也可以是名词,但这些请求方法有时被称为HTTP动词。每一个请求方法都实现了不同的语义,但一些共同的特征由一组共享。 方法 说明 GET GET方法请求一个指定资源的表示形式. 使用GET的请求应该只被用于获取数据。 HEAD
HTTP中cache
网页的缓存是由http消息头中的“Cache-control”来控制的,常见的取值有private、no-cache、max-age、must-revalidate等,默认为private。其作用根据不同的重新浏览方式分为以下几种情况: **(1) 打开新窗口** 值为private、no-cache、must-revalidate,那么
Nginx入门
想必大家都听过大名鼎鼎的nginx了吧 那么有没有纳闷这个到底是什么作用呢? **nginx简介:** Web 网络服务是一种被动访问的服务程序,即只有接收到互联网中其他主机发出的 请求后才会响应,最终用于提供服务程序的 Web 服务器会通过 HTTP(超文本传输协议)或 HTTPS(安全超文本传输协议)把请求的内容传送给用户。 目前能够提供 Web
一个HTTP请求,把网站打裂开了!
大家好,我是周杰伦,今天给大家看一段神奇的代码。利用这几行神奇的代码,居然能把网站打崩溃,这是怎么一回事呢?就是下面这个函数,根据传进来的开始和结束位置,读取文件数据:char Read(int fd, int start, int end) unsigned int length end start + 1; if (length 10