CVE-2014-0160 心脏滴血漏洞复现

水下月 2021-01-13
Web安全 发布于 2021-01-13 16:18:15 阅读 338 评论 0

漏洞原因

Heartbleed漏洞是由于没有能在memcpy()调用用户输入内容作为长度参数之前正确进行边界检查。黑客可以追踪OpenSSL所分配的64KB缓存、将超出范围的信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

漏洞危害

我们可以通过漏洞读取每次攻击泄露的信息,所以可能获取到服务器的私钥,用户cookie和密码。。。

影响版本

openssl 1.0.1~1.0.2版本

环境搭建

要准备bee-box虚拟机,和kali系统。
我之前在阿里云端搭建的漏洞平台,发现不能用。之后在网上下载的bee-box虚拟机,放在自己电脑的vm上。

1,用ifconfig查看ip地址。

2,用浏览器访问IP的8443端口看看能不能用。

3,使用nmap检测漏洞是否存在。

4,可以看出存在心脏滴血漏洞。

5,使用msf漏洞利用,查找 cve-2014-0160

6,使用第一个选项

7,查看设置哪些选项

8,需要设置RHOSTS,RPORT,verbose。设置完成exploit运行。

9,有人在正在登录的话,可能可以直接抓到账号密码。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!