Ayuda para crear un servidor vulnerable Heartbleed

0

Estoy usando la red interna de Virtualbox con Kali Linux y Ubuntu 12.04. La versión de OpenSSL para Ubuntu es 1.0.1 que debería ser vulnerable. He creado un servidor HTTPS usando nginx en Ubuntu y cuando escaneo con nmap en Kali Linux, muestra que el puerto 80 para http y el puerto 443 para https están abiertos. Sin embargo, cuando uso el exploit Heartbleed en Metasploit en Kali y ejecuto el comando de verificación dice:

[*] 192.168.1.70:443 The target is not exploitable
[*] Checked 1 of 1 hosts (100% complete)

Ejecutando nmap con

nmap -d –script ssl-heartbleed –script-args vulns.showall -sV 192.168.1.70

tampoco me da nada.

¿Cómo creo un servidor vulnerable al corazón? No me importa probar otro método mientras funcione. El método aquí se realizó siguiendo enlace

    
pregunta James Tan 17.12.2016 - 01:47
fuente

1 respuesta

1

A menos que esté utilizando una versión de 12.04 que no haya sido parcheada durante años, el OpenSSL en su servidor de prueba no es vulnerable incluso si el número de versión de OpenSSL muestra una versión vulnerable. Los proveedores realizan correcciones de seguridad en las versiones de OpenSSL que envían y, por lo tanto, el número de versión en sí no dice mucho. Consulte ¿Por qué es esto? ¿La versión de OpenSSL (1.0.1e) no es vulnerable a Heartbleed? .

Por lo tanto, si desea configurar un sistema vulnerable, obtenga imágenes antiguas y sin parchear u obtenga la versión vulnerable en openssl.org compílelo usted mismo y también asegúrese de que todas las aplicaciones que desea probar estén vinculadas con esta versión vulnerable.

    
respondido por el Steffen Ullrich 17.12.2016 - 08:41
fuente

Lea otras preguntas en las etiquetas