记录一次心脏滴血靶场实验过程

最新推荐文章于 2024-07-31 18:25:39 发布

leehaming

最新推荐文章于 2024-07-31 18:25:39 发布

阅读量2.6k

点赞数

分类专栏：学习

本文链接：https://blog.csdn.net/lee_ham/article/details/102772548

版权

学习专栏收录该内容

36 篇文章 2 订阅

订阅专栏

记录一次心脏滴血靶场实验过程

此文主要从几个方面记录本次心脏滴血的实验过程：

心脏滴血的攻击原理和效果
心脏滴血攻击过程复现
实验结果和现象分析
实验过程中遇到的问题以及解决方案

https://blog.csdn.net/caozhk/article/details/23738971

https://blog.csdn.net/yaofeiNO1/article/details/54428021

https://www.cnblogs.com/shengguang/p/11044899.html

1、心脏滴血的攻击原理和效果

1.1 攻击原理

心脏滴血攻击面向支持扩展心跳机制的OpenSSL环境。

a. OpenSSL环境：OpenSSL是SSL协议以及一系列加密算法的开源实现。

b. 扩展心跳机制：TLS（安全传输协议）位于传输层和应用层之间，提供数据安全加密。TLS心跳指的是用户向服务器发送数据包，服务器返回一个相同的数据包以确定彼此在线，以支持持续通信功能。DTLS(Datagram Transport Layer Security)数据包传输层安全协议。TLS不能用来保证UDP上传输的数据的安全，因此Datagram TLS试图在现存的TLS协议架构上提出扩展，使之支持UDP，即成为TLS的一个支持数据报传输的版本。DTLS1.0基于TLS1.1，DTLS1.2基于TLS1.2。

心脏滴血攻击的本质是内存缓冲区溢出漏洞。

a. 用户向服务器发送的心跳数据中用两个字节表明有效负载数据长度，而服务器端OpenSSL将根据这个有效负载长度构造一个新的数据包会送给客户端用户。

b. OpenSSL在实现TLS和DTLS的心跳处理逻辑时，存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合。这就可能造成缓冲区溢出，被攻击者利用。

c. 心脏出血漏洞主要通过攻击者模拟向服务器端发送自己编写的Heartbeat心跳数据包，主要是HeartbeatMessage的长度与payload的length进行匹配，若payload_length长度大于HeartbeatMessage的length，则会在服务器返回的response响应包中产生数据溢出，造成有用数据泄露。

1.2 攻击效果

攻击者可以利用缓冲区溢出，构造异常的数据包，来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了证书私钥，用户名，用户密码，用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。

2、心脏滴血攻击过程复现

2.1 实验环境

OpenSSL客户端：win10物理机

OpenSSL服务端：Ubuntu16.04虚拟机（Vmware+win10物理主机）；OpenSSL初始版本1.0.2f

环境搭建目标：需要在虚拟机中搭建一个通过https安全协议的数据交互网站，同时虚拟机中的OpenSSL版本为含有心脏出血漏洞的版本。通过客户端即物理机命令行中运行心脏出血漏洞检测POC代码。

2.2 实验靶场环境搭建

2.2.1 更换OpenSSL版本

心脏出血漏洞必须在含有心跳扩展和漏洞没有被修复的OpenSSL版本中存在。目前存在OpenSSL心血漏洞的OpenSSL版本有OpenSSL1.0.1，1.0.1a，1.0.1b，1.0.1c，1.0.1d，1.0.1e，1.0.1f，Beta 1 of OpenSSL1.0.2等。由于1.0.1f以及之后的OpenSSL可能被修复，因此实验过程我选择更为保守的1.0.1d版本的OpenSSL。

查看当前的OpenSSL版本；发现当前版本为1.0.2f

openssl version

安装指定版本OpenSSL，如1.0.1d

sudo apt-get install make
wget https://www.openssl.org/source/openssl-1.0.1d.tar.gz
tar -xzvf openssl-1.0.1d.tar.gz 
cd openssl-1.0.1d
sudo ./config
sudo make install
sudo ln -sf /usr/local/ssl/bin/openssl `which openssl` (This will create a sym link to the new binaries), 这一步可能失败，替换 ‘which openssl’ 为 /usr/local/bin/openssl 再试一次
openssl version -v

2.2.2 搭建Web环境（单独安装Linux）

由于需要在虚拟机中搭建一个通过https安全协议的数据交互网站，OpenSSL只是一个通信协议，并不能直接被用来检测心脏滴血漏洞。因此需要配置Linux网站环境。这里我选用的是LAMP环境（Linux操作系统，Apache网络服务器，MySQL数据库，Perl、PHP或者Python 编程语言）。

网上有一键安装LAMP环境的安装方法。这里为了更好的了解LAMP的工作原理和相关组件之间的关系，我选择手动单独安装各个LAMP组件。

a. 安装Apache

首先安装Apache：

sudo apt-get install apache2

Apache启动和停止相关命令为：

启动：sudo apache2 start
停止：sudo apache2 stop
重新启动：sudo apache2 restart

验证Apache2是否安装成功的方法：浏览器中输入网址localhost查看是否为Apache it works的展示页面。

开启SSL模块：

sudo a2enmod ssl

创建证书：由于我们搭建环境主要为我们检测漏洞使用，所以我们只需要创建自签名证书即可。

sudo mkdir /etc/apache2/ssl
sudo /usr/sbin/make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem

b. 编辑https配置

添加监听端口。编辑Apache端口配置（/etc/apache2/ports.conf）如果SSL缺省时加入443端口Listen 443。

设置site-enabled。安装完后，会在/etc/apache2/sites-available目录下生成一个缺省的default-ssl.conf文件。创建一个链接到sites-enabled目录：

ln -s /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/001-ssl

修改配置文件。确认HTTP监听端口是否为80：

gedit /etc/apache2/sites-enabled/000-default.conf

c. 重启Apache服务

service apache2 stop
service apache2 start

d. 安装PHP5.6

sudo apt-get install php5.6
sudo apt-get install php5-gd

让Apache支持php5.6:

sudo apt-get install libapache2-mod-php5.6

e. 安装MySQL数据库

在这之前可以参考更换镜像源为国内清华或阿里源，增加下载速度。Linux系统换源

更新appt-get，防止直接安装MySQL有的软件包无法下载：

sudo apt-get update

安装MySQL客户端和服务端，软件安装中会让你输入root用户的密码，输入密码确认密码之后完成安装。

sudo apt-get install mysql-server mysql-client

判断MySQL数据库是否安装成功，下述命令查看是否处于运行状态。

sudo service mysql restart
sudo service mysql status

让Apache支持MySQL：

sudo apt-get install libapache2-mod-auth-pgsql
tips:这里我没有找到libapache2-mod-auth-mysql模块，然后就用pgsql替代了，结果可行。

让PHP支持MySQL，这里我在Linux安装了PHP5.6用于本次实验。

sudo apt-get install php5.6-mysql

登录MySQL数据库，输入mysql的root用户密码：

mysql -u root -p

由于心脏出血漏洞主要由于心跳机制的边界检测问题，所以我们要查看自己安装的openssl有没有开启心跳扩展机制：

/usr/bin/openssl s_client -connect 192.168.220.156/login.php:443 -tlsextdebug 2>&1| grep ‘TLS’

f. 测试环境是否搭建成功

使用gedit在“/var/www”下创建info.php文件，在其中编辑下述内容，然后在URL中访问该文件，即可验证。

<?php
phpinfo() 
?>

2.2.3 写一个简单的Web登陆网站

a. 创建数据库

mysql -u root -p;之后输入mysql密码
create database web1;
use web1;
create table test(user varchar(15),password varchar(16));
create table flag();

b. 在/var/www/html/目录下编写登陆界面index.html：

<!DOCTYPE HTML>
<html>
	<head>
		<meta charset="utf-8">
		<title>test heartbleed</title>
	</head>
	<body style="background-color: #006400">
		<h2 align="center" style="color: white">login system</h2>
		<form align="center" action="login.php" method="post" enctype="multipart/form-data">
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;color:white;font-size:16px;">account:<input type="text" name="user" value="" max="10"></p>
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;color:white;font-size:16px;">password:<input type="password" name="pass" value="" min="6" max="16"></p>
			<p style="width: 100%;height: 30px;display: block;line-height: 200px;text-align: center;"><input type="submit" name="submit" value="login"></p>
		</form>
	</body>
</html>

c. 编写后台处理程序login.php：

<?php
$mysql_server_name='localhost';
$mysql_username='root'; 
$mysql_password='leeham'; 
$mysql_database='web1'; 
$conn=mysqli_connect($mysql_server_name,$mysql_username,$mysql_password,$mysql_database);
if(!$conn)
{
    die("error:".mysqli_connect_error());
}

$user=$_POST['user'];
$pass=$_POST['pass'];
#$user="admin";
#$pass="admin";
echo $user;
echo $pass;
$sql="select * from test where user='$user' and password='$pass'";
$res=mysqli_query($conn,$sql);
$row=mysqli_fetch_array($res,MYSQLI_NUM);
if(!is_null($row))
{
	for($i=0;$i<count($row);$i++)
	{
		echo $row[$i];
		echo "<br>";
	}
}
else
{
	echo "登录失败！";
} 
?>