CVE-2015-1635 HTTP.SYS遠程代碼執行漏洞(ms15-034)
-
漏洞范圍
包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012Windows 8.1 和 Windows Server 2012 R2在內的主流服務器操作系統,且使用iis作為Web容器
-
漏洞影響
利用auxiliary/scanner/http/ms15_034_http_sys_memory_dump進行掃描,顯示目標可攻擊。此處若iis服務器下有網頁,會有內存數據讀取
利用msf中auxiliary/dos/http/ms15_034_ulonglongadd模塊對目標機器進行攻擊
攻擊開始后,win7瞬間藍屏然后自動重啟,截圖如下
漏洞分析
根據Microsoft給的說明藍屏是因為整數溢出,導致頁面崩潰,具體請參考:
https://www.freebuf.com/vuls/64195.html
3.排查方法
提供兩種方法任選其一:
-
通過Curl或者telnet工具構造報文,報文返回"Requested Range Not Satisfiable"說明有問題
curl http://192.168.80.130 -H "Host:192.168.80.130" -H "Range: bytes=0-18446744073709551615"
-
通過抓包工具或者telnet在header里面添加 Range:bytes=0-18446744073709551615
-
4. 修復方法
參考Microsoft打補丁:
https://docs.microsoft.com/zh-tw/security-updates/securitybulletins/2015/ms15-034
ps: windows補丁之間可能存在依賴,有可能需要多個補丁