心脏滴血漏洞复现(CVE-2014-0160)
漏洞简介
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL的TLS和DTLS实现过程中的d1_both.c和t1_lib.c文件中存在安全漏洞,该漏洞源于当处理Heartbeat Extension数据包时,缺少边界检查。远程攻击者可借助特制的数据包利用该漏洞读取服务器内存中的敏感信息(如用户名、密码、Cookie、私钥等)。以下版本的OpenSSL受到影响:1.0.1,1.0.1:beta1,1.0.1:beta2,1.0.1:beta3,1.0.1a,1.0.1b,1.0.1c,1.0.1d,1.0.1e,1.0.1f。目前OpenSSL官方已经发布补丁,用户可以通过升级修复漏洞,或者使用-DOPENSSL_NO_HEARTBEATS参数重新编译受影响版本的OpenSSL以禁用Heartbeat模块。
虚拟机漏洞复现
本次复现在存在此漏洞的虚拟机中进行测试。已知192.168.37.130存在CVE-2014-0160漏洞,web页面为8443端口。
1、 打开msfconsole,查找heartbleed模块:

本文详细介绍了OpenSSL的心脏滴血漏洞(CVE-2014-0160),该漏洞允许远程攻击者通过特制数据包读取服务器内存中的敏感信息。复现过程中,通过msfconsole使用openssl_heartbleed模块,设置目标IP和端口,并启用verbose选项,可能获取到登录凭证等信息。尽管存在随机性,多次尝试可拼凑用户信息。
最低0.47元/天 解锁文章
3851

被折叠的 条评论
为什么被折叠?



