HTTP.sys远程代码执行漏洞复现

最新推荐文章于 2024-04-30 20:09:14 发布

小宋同学~

最新推荐文章于 2024-04-30 20:09:14 发布

阅读量2.8k

点赞数 1

分类专栏：漏洞利用文章标签：安全

本文链接：https://blog.csdn.net/weixin_45200712/article/details/119944920

版权

漏洞利用专栏收录该内容

3 篇文章 1 订阅

订阅专栏

一．漏洞描述

Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中，Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞，远程攻击者可以通过IIS 7（或更高版本）服务将恶意的HTTP请求传递给HTTP.sys驱动，通过发送恶意的HTTP请求导致远程代码执行或操作系统蓝屏。

二．检测条件

1、被测网站采用了windows平台中的IIS中间件架构。
2、被检测的网站关闭了主机防火墙，且没有安装补丁

三．检测方法

1、通过curl命令实现
curl IP -H “Host: irrelevant” -H “Range: bytes=0-18446744073709551615”
2、通过执行POC脚本的方式进行检测（CVE-2015-1635的POC）
3、通过MSF

四．漏洞验证

实验主机：

角色	IP	操作系统
攻击机	192.168.52.131	Kali linux
靶机	192.168.52.141	Win7

Win7

搭建IIS环境
①安装IIS。控制面板—程序—打开或关闭windows功能，勾选Internet信息服务
在这里插入图片描述

②查看IIS是否安装成功，访问查看IIS版本。控制面板—系统和安全—管理工具—Internet信息服务（IIS）管理器，按下图操作顺序可获知IIS版本为IIS7，至此，对靶机的环境打击已完成。
在这里插入图片描述

Kali linux

方法一：通过curl命令进行检测，curl http://192.168.52.141 -H “Host: 192.168.52.141” -H “Range: bytes=0-18446744073709551615”，返回416，说明该系统存在漏洞，其中Range字段值18446744073709551615表示：转为十六进制是 0xFFFFFFFFFFFFFFFF(16个F），是64位无符号整型所能表达的最大整数，整数溢出往往和这个超大整数有关。
【小贴士】需要关闭靶机的防火墙，才能够ping通靶机
在这里插入图片描述

方法二：通过执行POC脚本的方式进行检测，下载CVE-2015-1635的POC，为POC脚本添加执行的权限，运行脚本，运行完之后可以看见Vulnerability MS15-034 existence!证明了漏洞存在。
【小贴士】CVE-2015-1635下载地址：https://github.com/aedoo/CVE-2015-1635-POC.git
在这里插入图片描述

方法三：使用MSF进行攻击，搜索具有ms15-034漏洞的可用模块，发现有两块，auxiliary/dos/http/ms15_034_ulonglongadd具有DDOS的功能，可能会导致靶机的蓝屏，auxiliary/scanner/http/ms15_034_http_sys_memory_dump可以读取靶机的内存数据。
【小贴士】启动MSF终端命令:msfconsole
查看模块选项：show options(如果是yes表示一定要设置)
在这里插入图片描述

使用auxiliary/scanner/http/ms15_034_http_sys_memory_dump模块，设置好靶机地址后，执行，可以读取到服务器的内存数据，如下图所示：
在这里插入图片描述

在这里插入图片描述

使用攻击模块auxiliary/dos/http/ms15_034_ulonglongadd，设置好靶机地址，执行，返回数据DOS request sent，说明攻击成功。
在这里插入图片描述

Win7:

观察攻击后的现象，发现win7蓝屏，过了一段时间正常启动，在服务器的windows/minidump可以看到异常关机的日志，假设用户不清楚蓝屏的原因，可以使用BlueScreenView查看服务器崩溃原因。
异常截图：
在这里插入图片描述

异常关机日志文件：
在这里插入图片描述

BlueScreenView查看日志文件，可以看到HTTP.sys，即服务器异常的原因。
在这里插入图片描述

五．漏洞修复方案

方案1：厂商已在安全公告MS15-034中修复了此安全漏洞，建议用户开启自动更
新服务以及时安装最新补丁。
方案2：如果不能进行升级，可通过禁用IIS 内核缓存来临时缓解此漏洞的危险，但这可能会导致IIS性能下降，配置方法如下：
打开 IIS 管理器，然后导航至您要管理的级别。在“功能视图”中，双击“输出缓存”。在“输出缓存”页中的“操作”窗格中，单击“编辑功能设置”。在“编辑输出缓存设置”对话框中，单击“启用内核缓存”以将其选中，然后单击“确定”。
在这里插入图片描述

六．修复后验证

再次使用MSF进行测试，发现使用scanner/http/ms15_034_http_sys_memory_dump无法读取内存信息，提示Target may be vulnerable Unable to connect。
发现使用use auxiliary/dos/http/ms15_034_ulonglongadd不能进行DDos攻击，提示Probably not vulnerable, will not dos it。
Win7能够正常使用，没有产生异常现象。
在这里插入图片描述

小宋同学~

关注

1
点赞
踩
11

收藏

觉得还不错? 一键收藏
0
评论
HTTP.sys远程代码执行漏洞复现

一．漏洞描述Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中，Windows 7、Windows 8、Windows Server 2008 R2 和 Windows Server 2012所带的HTTP.sys驱动均存在一个远程代码执行漏洞，远程
复制链接

扫一扫