Nginx中通过ngx_resolver_copy()函数来验证和解压缩DNS响应中包含的每个DNS域名，接收网络数据包和一个指向被处理的域名指针，并在成功后返回指向新分配缓冲区的指针，该缓冲区包含未压缩的DNS名称。该函数大致可分为两步完成：

1.计算未压缩的域名大小的长度并验证输入包的合法性，丢弃包含大于128个指针或包含超出输入缓冲区边界的域名。

2.分配输出缓冲区，并将未压缩的域名复制到其中。

查看nginx/1.18.0源码，可以发现每次处理URL的标签部分非0时，都会在这个标签后面添加一个.字符，而在最后的标签后面时不需要加.字符的，而该程序中加入了.字符，导致off-by-one漏洞，如果计算的大小恰好与堆块大小对齐，则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。这可能会直接导致下一个堆块的大小写入，但还会覆盖3个标志，从而导致 PREV_INUSE被清除并 IS_MMAPPED被设置。

攻击向量分析:

DNS响应可以通过多种方式触发漏洞。

首先，Nginx必须发送了DNS请求，并且必须等待响应。然后，可以在DNS响应的多个部分放入payload：

DNS Questions QNAME,DNS Answers NAME,DNS Answers RDATA for CNAME and SRV responses,

通过在多处位置控制输入（QNAME，NAME，RDATA），可以在处理响应时多次触发漏洞函数，从而有效地执行多次内存读写操作。

此外，当攻击者提供中毒的CNAME时，它将以递归方式解决，从而在执行过程中触发了额外的OOB写操作 ngx_resolve_name_locked() 调用ngx_strlow()（ngx_resolver.c：594）和其他OOB读取期间 ngx_resolver_dup()（ngx_resolver.c：790）和 ngx_crc32_short()（ngx_resolver.c：596）。

用于“example.net”请求的DNS响应示例负载，其中包含被污染的CNAME：

ngx_strlow源码如下，作用是将src前面长度为n的大写字母转换为小写字母并存入dst中