漏洞范围:
OpenSSL 1.0.1版本
漏洞成因:
Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进 行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复 制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄 露。
漏洞危害:
我们可以通过该漏洞读取每次攻击泄露出来的信息,所以可能也可以获取到服务器的 私钥,用户cookie和密码等。
漏洞原理图:
漏洞利用:
SET RHOST 192.168.0.139
SET RPORT 8443
SET LEAK_COUNT 10