HTTP.SYS远程代码执行漏洞(蓝屏洞)「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。

1.简介

远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中，当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。不过我看了一下这个HTTP.SYS还发生过其他的远程代码执行漏洞，我还是表明它的漏洞编号吧。

CVE-2015-1635（MS15-034 ）

而HTTP.SYS是一个位于Win2003和WinXP SP2中的操作系统核心组件，能够让任何应用程序通过它提供的接口，以http协议进行信息通讯。

2.危害

利用HTTP.sys的安全漏洞，攻击者只需要发送恶意的http请求数据包，就可能远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃。

影响以下版本操作系统的IIS服务器

Windows 7

Windows 8

Windows server 2008

Windows server 2012

注：IIS是Internet Information Services(IIS，互联网信息服务)的缩写，主要用搭建网站用的。IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

所以影响范围很大，危害评级为严重，但是因为修补漏洞及时也没带来多大危害。

3.漏洞证明

我个人推荐用curl简易证明，因为使用MSF中palyload进行测试有的博主在漏洞复现时会造成服务器系统蓝屏崩溃。所以我在此也不列出啦。

curl -v IP -H "Host:irrelevant" -H "Range: bytes=0-18446744073709551615"

有发现返回”range is not satisfiable”就说明有漏洞了。

4.漏洞防御

官方补丁下载：https://support.microsoft.com/zh-cn/kb/3042553

临时解决办法：

* 禁用IIS内核缓存

这是我在挖edu时看到的一个比较简单的漏洞

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/161399.html原文链接：https://javaforall.cn