CVE-2021-3449 OpenSSL拒绝服务漏洞复现

已于 2024-04-03 09:53:55 修改
阅读量4.6k 收藏 14
点赞数 10
分类专栏: 菜鸟 文章标签: 安全 https
于 2021-05-20 08:52:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shodan77/article/details/117061442
版权

1,漏洞描述

OpenSSL 是一个常用的软件库,用于构建需要建立安全通信的网络应用和服务器。当前,OpenSSL 项目针对潜伏在 OpenSSL 产品中的高危漏洞 CVE-2021-3449具体如下。
CVE-2021-3449:由于 NULL 指针取消引用而导致的拒绝服务(DoS)漏洞,只影响 OpenSSL 服务器实例,而不影响客户端

2,影响范围

OpenSSL 1.1.1到1.1.1j版本

3,复现准备

服务器:win7虚拟机
攻击机:kali
exp:cve-2021-3449-main

4,复现过程

1, win7虚拟机安装phpstudy (https://www.xp.cn/)
在这里插入图片描述
2, 新建网站,开启https
在这里插入图片描述

3, 启动服务
在这里插入图片描述

4, 浏览器访问网站,可正

最低0.47元/天 解锁文章
OpenSSL相关漏洞与编程
SVIPCODE的博客
09-11 280
为了解决这个漏洞,应禁用SSL 3.0协议,推荐使用更安全的协议,如TLS 1.2或更高版本。解决这个漏洞的一个方式是升级到修复了这个漏洞OpenSSL版本。通过使用上述代码示例,可以检测是否受到心脏出血漏洞或POODLE漏洞的影响。此外,定期监测和评估系统的安全性,以及持续关注安全漏洞的最新信息也是至关重要的。需要注意的是,以上示例只是为了说明问题,并不完全涵盖了所有可能的情况。在实际应用中,应该根据具体情况采取相应的安全措施,如定期更新OpenSSL版本、禁用不安全的加密协议、配置正确的加密参数等。
2025年最新CVE-2014-0160漏洞复现
最新发布
2303_78851087的博客
03-28 1260
2025年最新CVE-2014-0160漏洞复现
一次openssl升级
weixin_45825078的博客
04-19 124
由于旧版openssl存在漏洞CVE-2021-3449,为修复该问题,需要把openssl升级到新版本 我的系统环境 centos7.5 版本号是1804 方法: 1 下载 openssl-1.1.1k 2 把压缩包放到/home目录下,执行下列脚本命令 tar -xvf /home/openssl-1.1.1k.tar.gz cd /home/openssl-1.1.1k mv /usr/local/ssl /usr/local/ssl.bak ./config --prefix=/usr/loca
OpenSSL命令注入漏洞CVE-2022-1292)
m0_55641973的博客
06-13 6717
1. c_rehash是openssl中的一个用perl编写的脚本工具,c_rehash 为文件创建一个符号连接,并将此符号连接的名称设为文件的。语法:c_rehash [-old] [-h] [-n] [-v] [ directory... ]openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件.-v:打印移除的老式连接和新创建的连接的信息。-old:使用1.0.0版本之前的老式hash(MD5,而不是SHA-1)去生成连接。,则默认的目录由安装时的信息指定。
漏洞复现-OpenSSL
aming小老弟
10-08 1111
渗透
OpenSSL 代码问题漏洞CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 4330
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
openssl漏洞修复
do_not_disturb的博客
06-03 697
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
OPENSSL拒绝服务漏洞CVE-2022-0778】
Armandhe的博客
03-18 2456
OPENSSL拒绝服务漏洞CVE-2022-0778】
CVE-2021-3560 Polkit权限提升漏洞复现与分析
m0_56642842的博客
07-16 1811
0x00 简介 Polkit是Linux上的一个系统服务,其用于实现权限管理,通过给非特权进程授权,允许具有特权的进程(或者库文件lib)给非特权进程提供服务,由于Polkit被systemd使用,所有使用systemd的Linux发行版都会装有Polkit。 。 2021年06月03日,RedHat发布安全公告,修复了Linux Polkit中一个存在了7年的权限提升漏洞CVE-2021-3560),该漏洞的CVSS评分为7.8,成功利用此漏洞的攻击者能够获得系统上的 root 权限。 0x01 漏洞
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
3. CVE-2018-15919:这是一个输入验证错误,可能导致拒绝服务(DoS)攻击。当OpenSSH处理特殊构造的请求时,可能会耗尽系统资源,导致服务不可用。 为了修复这些漏洞,我们需要将OpenSSH升级到最新的稳定版本。在这...
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
CVE-2021-3449 OpenSSL拒绝服务利用-Golang开发
05-26
CVE-2021-3449 OpenSSL <1.1.1k DoS exploit用途:运行。 -host hostname:port此程序实现对CVE-2021-3449 affe CVE-2021-3449 OpenSSL <1.1.1k DoS漏洞的概念验证漏洞利用:go run。 -host hostname:port如果接受TLSv1.2安全重新协商,此程序将对CVE-2021-3449进行概念验证,从而影响1.1.1k之前的OpenSSL服务器。 它连接到TLSv1.2服务器,并立即启动RFC 5746“安全重新协商”。 攻击涉及一个恶意制作的ClientHello,它通过导致NULL指针取消引用(Denial-of-Service)导致服务器崩溃。 参考OpenSSL安全性a
Openssl Infinite Loop 漏洞CVE-2022-0778)
qq_62056583的博客
08-25 737
在该漏洞中由于证书解析时使用的 BN_mod_sqrt() 函数存在一个错误,它会导致在非质数的情况下永远循环。可通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。任何使用BN_mod_sqrt()的其他应用程序,如果可以控制参数值,也会受到此漏洞影响。
OpenSSL 心脏滴血漏洞(CVE-2014-0160)
lza20001103的博客
12-20 1932
OpenSSL 心脏滴血漏洞(CVE-2014-0160)利用和复现
Centos7修复OpenSSL 安全漏洞 (CVE-2022-0778)
qq_53058639的博客
02-01 2217
centos7环境下OpenSSL拒绝服务漏洞(CVE-2022-0778)OpenSSL3.0OpenSSL拒绝服务漏洞(CVE-2022-0778):该漏洞是由于OpenSSL中的BN_mod_sqrt()函数存在解析错误,由于证书解析发生在证书签名验证之前,因此任何解析外部提供的证书场景都可能受到拒绝服务攻击,攻击者可在未授权的情况下通过构造特定证书来触发无限循环,执行拒绝服务攻击,最终使服务器无法提供服务。
opensslCVE-2014-0160)心脏出血漏洞复现
m0_62008601的博客
08-02 1928
心脏出血是openssl库中的一个内存漏洞,攻击者利用这个漏洞可以服务到目标进程内存信息,如其他人的cookie等敏感信息。HeartbleedBug是流行的OpenSSL加密软件库中的一个严重漏洞。此弱点允许在正常情况下窃取受用于保护Internet的SSL/TLS加密保护的信息。SSL/TLS为Web、电子邮件、即时消息(IM)和一些虚拟专用网络(VPN)等应用程序提供Internet上的通信安全和隐私。...
OpenSSL 信息泄露漏洞CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 2778
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
openssl HeartBleed漏洞复现
weixin_54584489的博客
04-11 668
心脏滴血漏洞于2014年被爆出,攻击者可以通过构造特殊的数据包,远程读取特定服务器内存中64K的数据,获取内存中的敏感信息。因openssl应用广泛,故影响较大。SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。SSL协议的三个特性:① 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
CVE-2016-2183复现
01-23
CVE-2016-2183属于OpenSSL中的DTLS心跳扩展实现存在缺陷,远程攻击者可借助特制的数据包造成内存泄漏或拒绝服务(崩溃),此问题影响多个依赖OpenSSL的产品和服务[^4]。 #### 准备工作 为了能够安全地研究并理解...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值