心脏滴血漏洞搭建与复现修复（CVE-2014-0160）OpenSSL Heartbleed漏洞

OpenSSL1.0.1版本

Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。

如同漏洞成因所讲，我们可以通过该漏洞读取每次攻击泄露出来的信息，所以可能也可以获取到服务器的私钥，用户cookie和密码等。

环境：

靶机：Vulhub环境  攻击机：kali Linux

这里使用的是Vulhub一键搭建漏洞测试靶场

https://vulhub.org/#/environments/openssl/heartbleed/

访问看一下

先使用nmap扫描端口

可以使用nmap自带的Heartbleed漏洞检测脚本

nmap -sV -p 443 --script ssl-heartbleed.nse 【目标IP】

msf利用

1.搜索Heartbleed模块：

2.引用第一个选项，show options查看需要设置的参数

set rhosts     【ip】

set rport    【端口】

set verbose true 设置verbose不然显示不出信息

抓取的数据有点乱，可以使用脚本抓取我们想要的

1.将受影响的服务器下线，避免它继续泄露敏感信息。

2.停止旧版的 openssl 服务，升级 openssl 到新版本，并重新启动。

3.生成新密钥。（因为攻击者可能通过漏洞获取私钥。）将新密钥提交给你的CA，获得新的认证之后在服务器上安装新密钥。

4.服务器上线。

5.撤销旧认证。

6.撤销现有的会话cookies。

7.要求用户修改密码。

“心脏出血” 漏洞的危险性在于，它要比一般应用程序中的漏洞潜伏得更深，因为后者可以通过升级应用程序轻易地解决。

从Gmail和Facebook等网站传送安全信息的服务，均有可能会受到“心脏出血” 漏洞的影响。

“心脏出血” 漏洞影响到了各种版本的OpenSSL——支持大多数网络服务的通行数据加密标准。这个漏洞最初是由安全公司Codenomicon的团队和谷歌的安全官员尼尔-梅赫塔(Neel Mehta)发现的。

OpenSSL已发布了紧急更新程序，但是我们仍有必要采取额外的措施来确保你的个人数据安全。

保护自己不受“心脏出血” 漏洞影响的最佳方式是：你不仅要更新你的密码，而且要确保你选择的密码不被轻易地破解。下面的一些技巧可以帮你打造可靠的、不会轻易被别人蒙对的超强密码。

1. 确保你的密码足够长。

你的密码中的字母越多，你的密码就越不容易被别人猜到。谷歌和微软均认为，密码越长越安全。微软建议，你的密码长度至少要达到8个字母。大多数网站对于密码设置也有最低字母数量要求，这样可以有效地防止你使用极易被人猜出的4个字母的密码。

2. 尽量让密码字母随机排列。

如果你使用的密码是一个常见的单词或短语，那么你的这个密码再长也没有效，因为它还是很容易被人猜出。你最好使用一些随机的字母组合，包括各种字母、数字和符号。不要用你的姓名或公司名称作为你的密码，也不要用某个单词来充当密码。你的密码应该包含一系列大写和小写字母、数字和符号。

3. 用错误的拼写取代正确拼写的单词。

如果你准备在密码中使用单词或短语，那么故意使用错误的拼写也是防止密码被别人猜对的好办法。你可以用符号和数字来取代字母。例如，如果你想要在密码中使用“I love soccer”这句话，那么你可以将它改写为“1LuvSoCC3r!1”，这样可以让它变得更安全。

4. 同一个密码不要应用于多个账户。

你千万不要将同一个密码应用到你的所有账户中。否则，如果攻击者发现了你的一个密码，那么他们就可能会访问你所有的个人页面和账户。你还应该确保每个密码都不同于你以前设置的密码或其他现有的密码。

5. 避免出现弱智的密码。

如果你仍然不确定超强密码与弱智密码之间的差别，那么这些密码你千万不要使用：abc1234、password、admin、iloveyou和aaaaaa。在去年12月Adobe的系统遭受黑客攻击时，被破解的都是类似这些简单低级的密码。

6. 通过造句来编写密码。

编写超强密码的另一个好办法就是想出一句你很容易记住的句子，然后进行改写。例如，你造了一个句子“My favorite animal is the koala bear”。现在，你可以取用该句子中每个单词的首字母，然后添加某些标点符号，并用数字替代其中的某些字母。那么，这句话就变成了这样的密码mFA1tkB!。

7.利用应用程序和工具来创造和管理密码。

有时候，即使遵照上面列出的小技巧，你也很难想出你能牢记的安全密码。幸运的是，我们有一些值得信赖的应用程序和服务可以帮助你解决这个问题。

例如，LastPass可以将你所有的重要密码保存在一个安全的地方，并进行统一管理。这款应用程序会加密你的数据和密码列表，防止别人看到它们。而且，它还有两步认证的方法供你选择：它包含有一个密码生成器，可以创造随机的、别人几乎不可能猜到的密码。免费桌面版LastPass会在你登录新网站的时候将密码保存在LastPass上。但是，你需要通过高级预订服务(每年12美元)才能使用移动版LastPass。

而且，LastPass还有一个很实用的工具，它能够告诉你你正在使用的网站是否受到了Heartbleed漏洞的影响。

1Password应用程序是增强你的密码安全性的又一个选择。这款应用程序的售价为17.99美元，它提供的很多功能均类似于LastPass，包括密码生成器和安全加密法。它还有一个浏览器插件可以与你的桌面保持同步。

首先，您问的应该是心脏出血漏洞吧。

该漏洞在互联网又称为“heartbleed bug”，中文名称叫做“心脏出血”、““击穿心脏””等。

受影响：

OpenSSL 1.0.2-beta

OpenSSL 1.0.1 - OpenSSL 1.0.1f

除非针对CVE-2014-0160的 *** 作系统补丁已经安装，而没有更改库版本，如Debian、Red Hat Enterprise Linux（及其派生版，如CentOS、Amazon Linux）或Ubuntu（及其派生版，如Linux Mint）。

Linux系统也是会受影响的。

---