心脏滴血漏洞简单攻击
来源:互联网 发布:python 哪方面的私活多 编辑:程序博客网 时间:2024/05/08 22:45
转自http://www.lijiejie.com/openssl-heartbleed-attack/
penSSL Heartbleed漏洞的公开和流行让许多人兴奋了一把,也让另一些人惊慌了一把。
单纯从攻击的角度讲,我已知道的,网上公开的扫描工具有:
1. Nmap脚本ssl-heartbleed.nse: http://nmap.org/nsedoc/scripts/ssl-heartbleed.html
2. Jared Stafford的testssl.py: https://gist.github.com/sh1n0b1/10100394
3. CSHeartbleedScanner: http://www.crowdstrike.com/community-tools/
若想要批量寻找攻击目标,可以直接扫目标IP段的443端口。高校和互联网不发达的国家都是比较容易攻击的。
得到活跃主机IP地址,再导入上述扫描器。
针对特定的某个攻击目标,可以查看已经读到的内容,利用正则表达式不停拉抓账号密码。
也可以根据关键词,不停抓下cookie,账号等。
将testssl.py的代码修改为不输出偏移地址和非ascii字符,找到hexdump函数,修改为:
这样就只输出有用的ascii字符串了。
1. 正则表达式抓账号
脚本间隔一秒钟读一次数据,发现正则匹配的账号密码,若之前没出现过,就写入accounts.txt文件。
这样可以避免重复写入同样的账号、密码。
2. 根据关键词抓数据
如果并不确定后台地址,也不知道登录请求、Cookie的格式,直接用关键词抓账号就行了。
类似下面的代码:
这样一旦返回的数据中存在关键词passwd、password等,就会把数据写入data_1文件夹下面,以时间命名。
- 心脏滴血漏洞简单攻击
- 心脏滴血漏洞
- OpenSSL “心脏滴血”漏洞
- OpenSSL “心脏滴血”漏洞
- OpenSSL心脏滴血漏洞
- 一次心脏滴血漏洞的bug处理过程
- CVE-2014-0160浅析-OpenSSL数组越界访问(Heartbleed心脏滴血)漏洞
- OpenSSL心脏出血漏洞
- OpenSSL“心脏出血”漏洞
- OpenSSL心脏滴血检测
- 解码Heartbleed心脏出血漏洞
- 心脏出血漏洞修复记录
- 简单的SQL注释漏洞攻击
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 常用排序之插入排序法
- OCP 11G 053题库解析汇总链接(601-712)
- 牛客错题集锦5
- StringBuffer、String、StringBuilder的用法以及他们的区别
- Spring注解@Resource和@Autowired的区别
- 心脏滴血漏洞简单攻击
- 快速幂
- 自定义博客园Markdown样式.超简单!
- 虚拟机网络设置
- 奔跑吧linux
- n皇后
- windows DLL共享变量
- POJ 2342 Anniversary party ~~Tree Dp
- ZooKeeper_5_Java操作ZK_创建节点