Форум АНТИЧАТ
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Атака на сервер (https://forum.antichat.xyz/showthread.php?t=435828)

.Light. 15.01.2016 13:47
Подскажите как сделать атаку на сервер.

Нашел сервер Apache/2.2.22 (Ubuntu)

Нашел Acunetix показал что есть грубая ошибка на сервере.

Так вот как воспользоваться этой уязвимостью?

blackbox 15.01.2016 13:49
Цитата:
Сообщение от .Light.
.Light. said:

Подскажите как сделать атаку на сервер.
Нашел сервер Apache/2.2.22 (Ubuntu)
Нашел Acunetix показал что есть грубая ошибка на сервере.
Так вот как воспользоваться этой уязвимостью?
Акунетикс и похожие сканеры часто парашу выдают, которую на практике не используешь. Нужно смотреть что он конкретно написал и дальше уже отталкиваясь от этой инфы решать, можно ли там что-то реализовать или это бесполезный баг "для галочки".

Turanchocks_ 15.01.2016 13:49
Для начала нужно знать - что за ошибка."Грубая ошибка на сервере" - это для маглов.

r0b0t 15.01.2016 14:15
Просто возьми версию апача и пройдись по сплойтам, почитай что есть под эту ветку, не думаю что акунетикс покажет приватную багу, так что в гуле если и есть что то ты найдешь.

grimnir 16.01.2016 10:53
https://vulners.com/search?query=Apache 2.2.22

.Light. 18.01.2016 08:58
nginx SPDY heap buffer overflow

Vulnerability description

A heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request. The problem affects nginx compiled with the ngx_http_spdy_module module (which is not compiled by default) and without --with-debug configure option, if the "spdy" option of the "listen" directive is used in a configuration file.

This vulnerability affects Web Server.

Discovered by: Scripting (Version_Check.script).

Attack details

Current version is : nginx/1.4.6



Retest alert(s)



Mark this alert as a false positive

The impact of this vulnerability

An attacker can cause a heap memory buffer overflow in a worker process by using a specially crafted request, potentially resulting in arbitrary code execution

How to fix this vulnerability

Upgrade nginx to the latest version of apply the patch provided by the vendor.

Classification

CWE CWE-122

CVE CVE-2014-0133

CVSS Base Score: 5.1 - AV:N/AC:H/Au:N/C/I/A/EOC/RL:OF

Access Vector: Network

Access Complexity: High

Authentication: None

Confidentiality Impact: Partial

Integrity Impact: Partial

Availability Impact: Partial

Exploitability: Proof of concept code

Remediation Level: Official fix

ZodiaX 18.01.2016 11:30
Цитата:
Сообщение от .Light.
.Light. said:

Нашел сервер Apache/2.2.22 (Ubuntu)
Цитата:
Сообщение от .Light.
.Light. said:

Current version is : nginx/1.4.6
Что то тут ни так!)

.Light. 18.01.2016 13:50
Цитата:
Сообщение от ZodiaX
ZodiaX said:

Что то тут ни так!)
ДА это другой сервак, подскажите что делать дальше?

ZodiaX 18.01.2016 14:05
Цитата:
Сообщение от .Light.
.Light. said:

ДА это другой сервак, подскажите что делать дальше?
Сплойта в паблике я не видел.

r0b0t 18.01.2016 18:00
Кроме описаний к данной баги в сети нет ничего.


Время: 05:09
Страница 1 из 2 1 2 >
Показывать 40 сообщений этой темы на одной странице