大家好,又见面了,我是你们的朋友全栈君。
1.简介
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。不过我看了一下这个HTTP.SYS还发生过其他的远程代码执行漏洞,我还是表明它的漏洞编号吧。
CVE-2015-1635(MS15-034 )
而HTTP.SYS是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。
2.危害
利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。
影响以下版本操作系统的IIS服务器
Windows 7
Windows 8
Windows server 2008
Windows server 2012
注:IIS是Internet Information Services(IIS,互联网信息服务)的缩写,主要用搭建网站用的。IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
所以影响范围很大,危害评级为严重,但是因为修补漏洞及时也没带来多大危害。
3.漏洞证明
我个人推荐用curl简易证明,因为使用MSF中palyload进行测试有的博主在漏洞复现时会造成服务器系统蓝屏崩溃。所以我在此也不列出啦。
curl -v IP -H "Host:irrelevant" -H "Range: bytes=0-18446744073709551615"
有发现返回”range is not satisfiable”就说明有漏洞了。
4.漏洞防御
官方补丁下载:https://support.microsoft.com/zh-cn/kb/3042553
临时解决办法:
* 禁用IIS内核缓存
这是我在挖edu时看到的一个比较简单的漏洞
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/161399.html原文链接:https://javaforall.cn
