Heartbleed OpenSSL CVE-2014-0160(心脏出血)

说明

感谢 @light4 提供漏洞 deb 包。

漏洞信息

获取环境:

  1. 拉取镜像到本地

    $ docker pull medicean/vulapps:o_openssl_heartbleed
  2. 启动环境

    $ docker run -d -p 443:443 medicean/vulapps:o_openssl_heartbleed

    -p 443:443 前面的 443 代表物理机的端口,可随意指定。

使用与利用

访问 https://你的 IP 地址:端口号/,看到 apache 默认页面即代表安装正确

  • PoC

    修改 poc.pycheck 函数的地址和端口:

    if __name__ == '__main__':
        check('192.168.59.103', 443)

    然后在控制台下执行:

    $ python poc.py

    如果看到 Heartbleed OpenSSL 则代表存在漏洞。

  • Exp

    执行:

    $ python exp.py 192.168.59.103

    读取到的信息在当前目录下的 result.txt 内。

    具体使用参数请使用 python exp.py -h

改动日志

20160731

  • 修正高版本 Ubuntu 中无法启动的问题
  • 优化速度

Copied From: Medicean/VulApps/o/openssl/heartbleed_CVE-2014-0160