Aiuto nella creazione del server vulnerabile Heartbleed

0

Uso la rete interna Virtualbox con Kali Linux e Ubuntu 12.04. La versione di OpenSSL per Ubuntu è 1.0.1 che dovrebbe essere vulnerabile. Ho creato un server HTTPS usando nginx su Ubuntu e quando scrivo con nmap su Kali Linux mostra che la porta 80 per http e la porta 443 per https è aperta. Tuttavia, quando uso l'exploit heartbleed su Metasploit in Kali ed eseguo il comando check dice:

[*] 192.168.1.70:443 The target is not exploitable
[*] Checked 1 of 1 hosts (100% complete)

Esecuzione di nmap con

nmap -d –script ssl-heartbleed –script-args vulns.showall -sV 192.168.1.70

inoltre non mi da niente.

Come posso creare un server vulnerabile al problema? Non mi dispiace provare un altro metodo finché funziona. Il metodo qui è stato eseguito seguendo link

    
posta James Tan 17.12.2016 - 01:47
fonte

1 risposta

1

A meno che non si utilizzi una versione di 12.04 che non è stata sottoposta a patch per anni, OpenSSL sul server di test non è vulnerabile anche se il numero di versione di OpenSSL mostra una versione vulnerabile. Le correzioni sulla sicurezza del backport dei fornitori nelle versioni OpenSSL vengono spedite e quindi il numero della versione stessa non dice molto. Vedi Perché è questo versione di OpenSSL (1.0.1e) non vulnerabile a Heartbleed? .

Quindi, se desideri configurare un sistema vulnerabile, ottieni immagini vecchie e non graffiate o ottieni la versione vulnerabile da openssl.org e compila tu stesso e assicurati che tutte le applicazioni che vuoi testare siano collegate con questa versione vulnerabile.

    
risposta data 17.12.2016 - 08:41
fonte

Leggi altre domande sui tag