openssl CVE-2016-2107 漏洞检测---OpenSSL Padding Oracle 攻击

已于 2023-07-10 11:01:28 修改
阅读量791 收藏
点赞数
分类专栏: Linux 漏洞检测 安全测试 文章标签: linux 系统安全 centos 运维 安全
于 2023-07-07 23:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44406011/article/details/131598929
版权
安全测试 同时被 3 个专栏收录
38 篇文章 5 订阅
订阅专栏
Linux
25 篇文章 0 订阅
订阅专栏
漏洞检测
8 篇文章 0 订阅
订阅专栏

openssl CVE-2016-2107 漏洞检测—OpenSSL Padding Oracle 攻击

文章目录

CVE-2016-2107.exe

执行1

下载CVE-2016-2107.exe
https://github.com/FiloSottile/CVE-2016-2107
https://github.com/FiloSottile/CVE-2016-2107

执行命令:



go run main.go baidu.com
需要安装go语言

执行2

编译二进制文件,直接启动执行,启动前需要给该文件赋予执行权限

链接:https://pan.baidu.com/s/1j3pl3RFA_2pQjRBizqUk9g
提取码:hbpa

./check_openssl_1.0.2e_CVE-2016-2107 baidu.com

在这里插入图片描述
在这里插入图片描述

OpenSSL Padding Oracle 攻击

漏洞描述

当连接使用AES CBC加密并且服务器支持AES-NI的情况下,中间人攻击者可以使用padding oracle攻击来解密流量,这个漏洞可以让攻击者在web服务器上解密登录证书或者执行恶意代码。

检测方法

如上

修复

OpenSSL 1.0.2 用户请更新到1.0.2h版本,OpenSSL 1.0.1 用户请更新到1.0.1t版本

汪敏wangmin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决 nginx server (ubuntu)上安全漏洞 OpenSSL AES-NI Padding Oracle MitM Information Disclosure
u014715135的博客
04-24 1575
用Nessus检测出网站有一个安全漏洞OpenSSL AES-NI Padding Oracle MitM Information Disclosure 。  提示:Upgrade to OpenSSL version 1.0.1t / 1.0.2h or later. 升级到最新版本 1.1.0e, 但并没用起作用。 老实升级到版本1.0.2h 问题才解决。 以下是步骤: a
CVE-2016-2107, 对 2016年05月 OpenSSL填充oracle的简单测试( CVE 2016 2107 ).zip
09-17
CVE-2016-2107, 对 2016年05月 OpenSSL填充oracle的简单测试( CVE 2016 2107 ) CVE-2016-21072016年05月 OpenSSL填充 oracle ( CVE-2016-2107 )的简单测试安装$ go versiongo version go1.6.2 darwin/amd64
许多Alexa网站依旧存在OpenSSLCVE-2016-2107漏洞
weixin_34221276的博客
06-06 338
2019独角兽企业重金招聘Python工程师标准>>> ...
Padding Oracle攻击
weixin_30955341的博客
04-24 173
最近在复现LCTF2017的一道题目,里面有一个padding oracle攻击,也算是CBC翻转攻击,这个攻击主要针对CBC加密模式的 网上有关这个攻击的博客文章很多,但是其中有一些细节可能是个人的理解不同,或者作者省略了,我这里将我在学习这个攻击中遇到的问题,记录一下 之前有写过关于CBC翻转攻击的文章,但是之前的文章是知道了密文和iv的,而且只要翻转一位就可以了(翻转多...
一种被忽视的攻击方式-padding oracle
Yatere的天平秤
04-25 1065
<br />之前搞一个目标站的时候用WVS扫描,出现”asp.net padding oracle ”这么一条高危漏洞,由于之前没听说过,便到网上查了一下资料。这技术其实是去年被发现的,还有一个称呼是ms10-070,不过目前国内研究的人好像还不多,查到的资料几乎都是国外的,其实这技术的危害性还是很巨大的,就拿针对asp.net来说,可以读出web.config等一些敏感文件的内容,具体原理大家可以去<br />http://www.gdssecurity.com/l/b/2 ... cks-with-pa
TLS/SSl相关的攻击漏洞检测方法大杂烩!
qq_50854662的博客
08-15 3979
TLS/SSl相关的攻击漏洞检测方法大杂烩!
linux 心脏滴血漏洞,心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))...
weixin_34896969的博客
05-16 779
心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)),哪吒游戏网给大家带来详细的心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))介绍,大家可以阅读一下,希望这篇心脏出血漏洞(heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南))可以给你带来参考价值。heartbleeder 可以...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
openssl 心血漏洞测试和利用工具
06-04
openssl 心血漏洞测试和利用工具,安装python 2.7就可以世界运行了。修改bat运行命令就行了。不会的话给我留言或者去我博客看看
poodle漏洞检测工具
10-09
从CMD运行该文件,后边加上目标IP地址即可判断自动判断该地址是否有POODLE风险漏洞
openssl 心血漏洞测试和利用工具(注意不是坑人的16K版本)
06-05
CVE-2014-0160 OpenSSL数组越界访问漏洞(Heartbleed心脏滴血)
OpenSSL拒绝服务漏洞 (CVE-2022-0778) poc证书
03-24
下载后执行 openssl x509 -in 2022_0778.pem -inform DER -text -noout 或者在自己产品证书管理界面上传证书验证 参考https://github.com/drago-96/CVE-2022-0778 制作证书验证
漏洞复现(CVE-2017-10271)
PDblue的博客
03-27 9653
使用https://github.com/vulhub/vulhub在本地进行漏洞环境搭建,需要使用的工具是https://github.com/hanc00l/weblogic_wls_wsat_rce 环境搭建完成后通过浏览器进行访问 使用工具对漏洞进行验证 向服务器上传后门文件 通过浏览器访问后门文件 仅限于本地漏洞环境验证。...
喜大普奔:OpenSSL Bug迎来规模修复!
weixin_34160277的博客
09-01 185
上周,开源加密库项目提醒称有一系列修复补丁推出,而本周二更新即如约而至——请大家及时安装以解决相关严重漏洞CVE-2016-2108可谓漏洞界的怪物; 两项网络Bug结合起来构成了巨大的威胁。第一项源自ASN.1语法分解器的小问题,如果用户将0表示为负值,则会触发缓冲区溢出并造成越界写入——但这种情况在ASN.1解析器中极为罕见,因此并不会造成严重...
oracle攻击的几种方式,padding oracle攻击思路总结
weixin_39842955的博客
04-07 2091
之前一直没有机会好好总结下padding oracle, 在LCTF 上水了两天,Simple Blog 这题就看了一天,最后还是没有弄出来, 参考了各位大师傅的wp, 赛后好好总结下这个漏洞, 还是很有意思的Padding Orlace攻击这是CBC模式下存在的攻击,与具体的加密算法无关(当然,必须是分组加密)。不过,实际上Padding Oracle不能算CBC模式的问题,它的根源在于应用程序...
openssl升级,解决Padding Oracle漏洞
yunweigege的专栏
07-12 2618
OpenSSL官网(https://www.openssl.org/source/)下载最新版本的OpenSSL 解压下载的openssl压缩包 tar -zxvf openssl1.0.1t.tar.gz 进入解压后的openssl文件夹 cd openssl-1.0.1g 执行文件夹中的config文件,这里openssl的安装目录默认是/usr/local/ssl(由于系统环
Centos7.6 OpenSSL 1.0.2k如何解决CVE-2016-2183漏洞
最新发布
05-22
CVE-2016-2183是OpenSSL中的安全漏洞,它允许攻击者通过DHE_EXPORT密钥交换协议中的特定客户端和服务器实现中间人攻击。要解决这个漏洞,你需要升级你的OpenSSL版本到1.0.2l或更高版本。 以下是在CentOS 7.6上升级OpenSSL的步骤: 1. 首先,备份你的系统并确保你的系统已经安装了EPEL仓库。 2. 安装必要的依赖项: ``` sudo yum install -y wget gcc make perl-core zlib-devel ``` 3. 下载OpenSSL 1.0.2l: ``` wget https://www.openssl.org/source/openssl-1.0.2l.tar.gz ``` 4. 解压缩下载的文件: ``` tar -zxvf openssl-1.0.2l.tar.gz ``` 5. 进入解压缩后的目录并编译: ``` cd openssl-1.0.2l ./config shared zlib make ``` 6. 安装新版本的OpenSSL: ``` sudo make install ``` 7. 更新OpenSSL的库缓存: ``` sudo ldconfig ``` 8. 确认新版本的OpenSSL是否正常工作: ``` openssl version -a ``` 如果输出的版本号是1.0.2l或更高版本,则表示你已经成功升级了OpenSSL并解决了CVE-2016-2183漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪敏wangmin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值