MS15-034漏洞总结

在2015年4月安全补丁日，微软发布的众多安全更新中，修复了HTTP.sys中一处允许远程执行代码漏洞，编号为：CVE-2015-1635（MS15-034 ）。利用HTTP.sys的安全漏洞，攻击者只需要发送恶意的http请求数据包，就可能远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃。根据公告显示，该漏洞对服务器系统造成了不小的影响，主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。

验证方法：

1.首先判断服务器是不是架设在windows服务器上的
2.发送验证代码“bytes=0-18446744073709551615”，返回状态码“416”以及“Requested Range Not Satisfiable”证明存在漏洞。

漏洞并不是针对IIS的，而是针对windows操作系统的，远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。若要利用此漏洞，攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式，此更新可以修复此漏洞。
那么如何判断远程web服务器是不是windows操作系统呢，这一块有很多判断方法，我这里主要是通过IIS来确定windows服务器的，因为就目前而言，IIS服务器仅存在于windows操作系统中。那么通过curl获取与web服务器的通信数据，就可以很轻易地进行判别，如下图所示：

几种测试方法

1.利用Telnet

telnet www.test.com 80
GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615

2.利用Curl

curl -v www.test.com -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"

3.利用Poc检测脚本
4.利用Msf进行验证（search ms15-034;use ms15_034_http_sys_memory_dump）

参考：
http://www.tiaozhanziwo.com/archives/765.html
https://www.cnblogs.com/KevinGeorge/p/8074694.html