CVE-2015-1635-HTTP.SYS远程执行代码漏洞复现windows
1、漏洞描述缓存
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会致使此漏洞。 成功利用此漏洞的攻击者能够在系统账户的上下文中执行任意代码。服务器
微软官方说明:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2015/ms15-034性能
2、影响版本测试
Windows 七、Windows Server 2008 R二、Windows 八、Windows Server 20十二、Windows 8.1 和 Windows Server 2012 R2ui
3、漏洞利用条件spa
安装了IIS6.0以上的Windows 七、Windows Server 2008 R二、Windows 八、Windows Server 20十二、Windows 8.1 和 Windows Server 2012 R2版本设计
4、 漏洞复现环境搭建blog
- windows 2008 R2 安装IIS服务
- burp suit
- kali
5、 漏洞复现内存
1.测试IIS服务是否搭建成功
2.burp抓包测试http.sys是否存在漏洞, 当出现Requested Range Not Satisfiable时说明存在漏洞
3.利用ms15-034漏洞读取服务器内存数据
4.利用ms15-034漏洞进行ddos攻击
5.攻击开始后,目标瞬间蓝屏而后自动重启
6、漏洞修复
禁用IIS内核缓存(可能下降IIS性能),此时再次测试,没法形成目标蓝屏
-------------------------------------------------------------------------------------
http.sys概念参考资料:https://baike.baidu.com/item/http.sys/4749540?fr=aladdin