在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。
验证方法:
1.首先判断服务器是不是架设在windows服务器上的
2.发送验证代码“bytes=0-18446744073709551615”,返回状态码“416”以及“Requested Range Not Satisfiable”证明存在漏洞。
漏洞并不是针对IIS的,而是针对windows操作系统的,远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,此更新可以修复此漏洞。
那么如何判断远程web服务器是不是windows操作系统呢,这一块有很多判断方法,我这里主要是通过IIS来确定windows服务器的,因为就目前而言,IIS服务器仅存在于windows操作系统中。那么通过curl获取与web服务器的通信数据,就可以很轻易地进行判别,如下图所示:
几种测试方法
1.利用Telnet
telnet www.test.com 80
GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615
2.利用Curl
curl -v www.test.com -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
3.利用Poc检测脚本
4.利用Msf进行验证(search ms15-034;use ms15_034_http_sys_memory_dump)
参考:
http://www.tiaozhanziwo.com/archives/765.html
https://www.cnblogs.com/KevinGeorge/p/8074694.html
扫一扫
1415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
