Windows HTTP协议远程代码执行漏洞
漏洞编号:CVE-2021-31166
漏洞评级:严重
影响范围:Windows Server, version 2004 (Server Core installation)
具体包含以下操作系统版本:
1. Windows Server Version 2004 数据中心版 64位中文版
2. Windows Server Version 2004 数据中心版 64位英文版
3. Windows Server Version 2004 with Container 数据中心版 64位中文版
4. Windows Server Version 2004 with Container 数据中心版 64位英文版
该漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序中,该程序广泛地用于应用之间或设备之间的通信,常见的组件(例如Internet Information Services(IIS))便使用该程序进行通信处理。未授权的攻击者可以构造恶意请求包攻击目标服务器,成功利用该漏洞的攻击者可以在目标服务器执行任意代码。微软官方将其标记为可造成蠕虫攻击及易被攻击,攻击者可以利用该漏洞造成大范围蠕虫攻击。
POC脚本
Github上有很多POC脚本:
https://github.com/0vercl0k/CVE-2021-31166/blob/main/cve-2021-31166.py
GitHub – ZZ-SOCMAP/CVE-2021-31166: Windows HTTP协议栈远程代码执行漏洞 CVE-2021-31166
靶机搭建
1)安装Oracle VM VirtualBox
2)安装受漏洞影响的Windows版本,本次测试使用的操作系统为Windows 10.0.19041.264
3)开启IIS
首先打开控制面板,点击卸载程序,如下图所示:
点击“启用或关闭Windows功能”:
开启IIS:
然后点击确定,等待更改完成后重启系统
4)查看虚拟机ip
如上图所示,虚拟机ip为:192.168.3.1
使用Wisdom复现漏洞
1)打开HTTP测试套件,点击Request数据模型,如下图所示
2)创建自定义测试用例attack,将Accept-Encoding的值改成:doar-e,ftw,imo, ,\r\n
3)启动测试任务
4)将目标地址改成虚拟机ip地址(192.168.3.1),选择可以和虚拟机连通的发包网卡
5)添加TCPMonitor监控器
6)添加刚才制作的测试用例
7)运行测试用例后,很快可以看到虚拟机重启了,同时Wisdom捕获到了漏洞
8)漏洞详情中可以看到触发漏洞的测试用例和数据模型
Wisdom能做什么
- 协议漏洞挖掘
超过60%的软件漏洞利用源于未公开的0day漏洞,Wisdom内置了我们多年总结下来最有效的测试用例,通过模拟攻击者行为,在恶意黑客发现漏洞前提前捕获问题。
- 协议健壮性、兼容性测试
自研的先进算法,可以增加测试的广度和深度;基于RFC规范构造的协议模型,可以在页面上快速的修改数据报文和状态机,模拟各种通讯数据和交互流程。
- 协议安全验证
丰富的监控器和可嵌入任意状态机流程中的监控方式,使得Wisdom不仅可以发现程序崩溃、假死等明显漏洞,还可以发现内存泄漏、加密算法缺陷等逻辑漏洞以及设计漏洞。
- 私有协议测试
可视化的建模功能和强大的插件扩展能力,可以很方便的完成私有协议模型构建和测试用例制作,帮助完成私有协议的全面测试。
中科固源专注于通讯协议安全与模糊测试,提供Wisdom系列工具和Swift系列工具,帮助企业构建全面的网络安全防护体系。了解更多产品与解决方案。加入我们,开启你的高效代码创新之旅!
①扫描二维码或添加微信,获取1V1线上云指导。
②解锁免费高效的开源级开发工具,还有更多专属权益等你来拿。
③关注我们,在评论区留言“我要学习资料”,即可免费获得独家学习资料包,包括详细使用教程、应用案例分析及相关技术文档。
发表评论
您还未登录,请先登录。
登录