Easy_HTTP漏洞分析与利用教学文档<\/h1>

1. 题目概述<\/h2>

这是一个来自春秋杯冬季赛Day2的题目"easy_http"，主要特点包括：<\/p>

没有使用标准libc，所有libc函数都被重写且符号表被抹除<\/li>
采用多进程架构，调试较为复杂<\/li>
漏洞点本身简单但逆向难度大<\/li>

IDA反编译结果不准确，增加了分析难度<\/li> <\/ul>

2. 题目功能分析<\/h2>

2.1 HTTP请求处理<\/h3>

程序实现了一个简单的HTTP服务器，主要处理流程：<\/p>

请求解析<\/strong>：通过getmessagefromheader<\/code>函数解析HTTP请求头<\/p>

查找"POST"、"GET"、"HTTP\/1.1"等关键字<\/li> 提取Host、Content、Content-Length字段并存入全局变量<\/li> <\/ul> <\/li> 请求格式要求<\/strong>：<\/p> POST<\/span> \/ HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> example.com<\/span> <\/span><\/span>Content-Length:<\/span> 100<\/span> <\/span><\/span>Content:<\/span> AAAAA... (实际内容)<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 2.2 关键函数分析<\/h3> getmessagefromheader<\/code>函数<\/h4> 通过字符串匹配查找关键字段<\/li> 返回是否成功找到Host、Content、Content-Length<\/li> <\/ul> 响应生成函数<\/h4> 生成HTTP响应头<\/li> 包含一个会导致进程退出的函数调用<\/li> <\/ul> 3. 漏洞分析<\/h2> 3.1 漏洞位置<\/h3> 漏洞存在于一个关键检查函数中，涉及以下变量：<\/p> v10[0]<\/code>: 存储从Content-Length头获取的长度值<\/li> v10[1]<\/code>: 标志位，表示Host长度是否<=0x2f<\/li> v12<\/code>: 通过strlen获取的实际Content长度<\/li> <\/ul> 3.2 漏洞成因<\/h3> 检查逻辑错误地使用了"||"运算符：<\/p> if<\/span> (v10[0<\/span>] <=<\/span> 0xF0<\/span> ||<\/span> v10[1<\/span>]) <\/span><\/span><\/code><\/pre>本意可能是：<\/p> if<\/span> (v10[0<\/span>] <=<\/span> 0xF0<\/span> &&<\/span> v10[1<\/span>]) <\/span><\/span><\/code><\/pre>这使得攻击者可以：<\/p> 伪造Content-Length头使其大于0xF0<\/li> 同时保持Host长度合规(v10[1]=1)<\/li> 绕过长度检查导致栈溢出<\/li> <\/ol> 3.3 溢出机制<\/h3> 后续的memcpy<\/code>类函数将Content内容复制到栈缓冲区：<\/p> 源缓冲区：Content内容<\/li> 目标缓冲区：栈上的v13\/v14<\/li> 由于长度检查被绕过，可以写入超长数据导致栈溢出<\/li> <\/ul> 4. 漏洞利用<\/h2> 4.1 信息泄露<\/h3> 利用show功能泄露canary：<\/p> 发送精心构造的Content，覆盖canary最低字节的\x00<\/li> 通过show功能读取被修改的canary<\/li> <\/ol> 栈布局：<\/p> +-----------------+ | ... | +-----------------+ | canary | <-- 可以被覆盖 +-----------------+ | ... | +-----------------+ | v14 (content) | <-- show读取的位置 +-----------------+ <\/code><\/pre> 4.2 ROP链构造<\/h3> 由于没有标准libc，需要直接使用syscall：<\/p> 在.bss段写入"\/bin\/sh"<\/li> 构造execve系统调用： rax=59 (execve)<\/li> rdi="\/bin\/sh"地址<\/li> rsi=0<\/li> rdx=0<\/li> <\/ul> <\/li> <\/ol> 4.3 利用注意事项<\/h3> 路径匹配问题<\/strong>：<\/p> 栈上某些地址被ROP覆盖会影响路径匹配<\/li> 解决方法：使用较长的pop链保持栈平衡<\/li> <\/ul> <\/li> 请求格式<\/strong>：<\/p> 必须以\r\n<\/code>结尾<\/li> 否则会导致程序异常<\/li> <\/ul> <\/li> <\/ol> 5. 调试技巧<\/h2> 5.1 多进程调试<\/h3> 由于set follow-fork-mode parent<\/code>无效，采用以下方法：<\/p> 使用ps -ax | grep attachment<\/code>获取子进程PID<\/li> 附加到子进程进行调试<\/li> <\/ol> 5.2 IDA反编译问题处理<\/h3> 对可疑函数进行动态调试确认功能<\/li> 结合上下文和寄存器变化推断函数用途<\/li> 重命名函数使其意义明确<\/li> <\/ol> 6. 完整利用步骤<\/h2> 泄露canary<\/strong>：<\/p> 发送精心构造的请求覆盖canary最低字节<\/li> 通过show功能读取canary<\/li> <\/ul> <\/li> 构造ROP链<\/strong>：<\/p> 计算必要gadget地址<\/li> 布置execve参数<\/li> <\/ul> <\/li> 触发漏洞<\/strong>：<\/p> 发送超长Content触发栈溢出<\/li> 覆盖返回地址指向ROP链<\/li> <\/ul> <\/li> 获取shell<\/strong>：<\/p> ROP链执行execve("\/bin\/sh", 0, 0)<\/li> 获取交互式shell<\/li> <\/ul> <\/li> <\/ol> 7. 防御建议<\/h2> 修复漏洞<\/strong>：<\/p> 将"||"改为"&&"进行严格检查<\/li> 使用strlen获取的实际长度进行验证<\/li> <\/ul> <\/li> 增强防护<\/strong>：<\/p> 启用栈保护(虽然本题已使用canary)<\/li> 限制单个请求的最大长度<\/li> <\/ul> <\/li> 代码审计<\/strong>：<\/p> 对关键安全检查进行重点审计<\/li> 确保长度验证逻辑正确<\/li> <\/ul> <\/li> <\/ol> 8. 总结<\/h2> 本题展示了以下安全知识点：<\/p> HTTP协议实现中的安全问题<\/li> 长度验证不严谨导致的栈溢出<\/li> 无libc环境下的ROP利用技巧<\/li> 多进程应用的调试方法<\/li> 对抗反编译不准确的逆向技巧<\/li> <\/ol>