CVE-2018-6794一把梭

关于Suricata：Suricata是一种高性能网络威胁检测，IDS，IPS和网络安全监控引擎。 开源并由社区运营的非营利基金会开放信息安全基金会（OISF）所有。 Suricata由OISF，其支持供应商和社区开发.

漏洞描述： 4.0.4之前的Suricata在detect.c和stream-tcp.c中容易出现HTTP检测绕过漏洞。 如果恶意服务器在3次握手完成之前中断正常的TCP流并发送数据，则恶意服务器发送的数据将被Web客户端（如Web浏览器或Linux CLI实用程序）接受，但被Suricata IDS忽略签名。 这主要影响HTTP协议和TCP流内容的IDS签名; TCP数据包的签名将照常检查此类网络流量。

Suricata IDS <4.0.4存在这种漏洞：HTTP或TCP流不会对注入的内容发出警报。如果我们对搭建的环境使用poc进行测试，会看不到任何关于异常的http响应数据的警报。成功利用可导致完整的TCP流响应或HTTP响应签名绕过，并可用于防止恶意有效负载进行网络检测。

漏洞分析：
检测引擎将绕过设置为丢弃的数据包。这会导致以下极端情况：触发丢弃的流事件无法与检测规则匹配。 由于绕过，带有事件的数据包不会进入检测引擎。
代码问题出现出现在detect.c

和stream-tcp.c

patch将逻辑更改为不再绕过DROP数据包。 流引擎丢弃的数据包将设置无有效负载检查标志，因此可以避免不必要的成本。

复现数据包分析：
正常的三次握手应由1,2,5组成

在tcp三次握手完成（5）之前，101主机注入通过http注入了恶意内容

之后才完成正常连接

Poc分析：
Poc由C语言编写
主函数：
中打印出参数用法说明，以及负责建立socket

定义恶意注入的数据：

声明数据包解析函数：

构造SYN_ACK数据包

对应为抓到的第二条

构造DATA数据包

对应的就是抓到的第三条

构造FIN数据包

对应就是抓到的第四条

构造ACK数据包

对应就是第五条

在构造时会涉及到tcp校验等功能，这些通用功能写在了server.h头文件中，针对本次分析并不重要稍微一提