心脏滴血漏洞利用（CVE-2014-0160）

0x00 前置知识

心脏滴血漏洞复现(CVE-2014-0160) - 知乎

1、心脏滴血简介

心脏出血漏洞”是指openssl这个开源软件中的一个漏洞，因为该软件使用到一个叫做heartbeat(中文名称为心跳)的扩展，恰恰是这个扩展出现了问题，所以才将这个漏洞形象的称为“心脏出血”；

2、openssl

在计算机网络上，OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。

3、漏洞描述

Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

4、影响范围

OpenSSL1.0.1版本

5、所需工具

fofa、kali、msf

0x01 漏洞利用

1、fofa语法搜一下有心脏滴血漏洞的站

2、 kali启动msf

3、搜一下心脏滴血漏洞

 

4、利用该漏洞，并查一下配置参数 

5、配置一下攻击机ip（kali）——LHOST，port默认443，可以根据fofa搜集的信息进行更改

 

6、 根据fofa搜集信息更改一下目标机ip——RHOST；

设置一下verbose，显示详细过程，让verbose为true这样我们才可以看到泄露的64kb数据

 7、exploit启动攻击：

 8、也可以根据fofa信息尝试其他ip进行攻击

 

0x02 修复建议

升级openssl