CVE-2015-1635-HTTP.SYS遠端執行程式碼漏洞復現

雨中落葉發表於2019-05-21

CVE-2015-1635-HTTP.SYS遠端執行程式碼漏洞復現

一、漏洞描述

遠端執行程式碼漏洞存在於 HTTP 協議堆疊 (HTTP.sys) 中,當 HTTP.sys 未正確分析經特殊設計的 HTTP 請求時會導致此漏洞。 成功利用此漏洞的攻擊者可以在系統帳戶的上下文中執行任意程式碼。

微軟官方說明:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2015/ms15-034

二、影響版本

Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2

三、漏洞利用條件

安裝了IIS6.0以上的Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2版本

四、  漏洞復現環境搭建

  1. windows 2008 R2 安裝IIS服務
  2. burp suit
  3. kali

五、  漏洞復現

1.測試IIS服務是否搭建成功

  

2.burp抓包測試http.sys是否存在漏洞, 當出現Requested Range Not Satisfiable時說明存在漏洞

  

3.利用ms15-034漏洞讀取伺服器記憶體資料

  

4.利用ms15-034漏洞進行ddos攻擊

  

5.攻擊開始後,目標瞬間藍屏然後自動重啟

  

六、漏洞修復

禁用IIS核心快取(可能降低IIS效能),此時再次測試,無法造成目標藍屏

  

  

 

-------------------------------------------------------------------------------------

http.sys概念參考資料:https://baike.baidu.com/item/http.sys/4749540?fr=aladdin

相關文章