В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1084 membersпожаловаться на группу
2020 July 15

A

Anton in WebPwnChat
Anton Kirsanov 🐸
они этот момент и не раскрывают, что там за Our “smuggled” DNS query inside the POST data.
Просто если они в POST прячут запрос, который запускает всю цепочку, а не финальный ответ с переполнением, непонятно, зачем прятать запрос в POST, а не просто попросить браузер зарезолвить домен, браузер же использует эту уявзимую dns.exe?
источник
18:15пожаловаться#1

A

Anton in WebPwnChat
Billy Fox
Забейте, кто настырный - виндбг в руки и вперёд переполнять
Интересен не эксплоит, который код выполнит, интересна цепочка доставки пейлода.
источник
18:16пожаловаться#2

AK

Anton Kirsanov 🐸 in WebPwnChat
может потому что резолв по дефолту пойдет по udp? Они формируют пост запрос на 53, который приводит именно к tcp пакету
источник
18:16пожаловаться#3

A

Anton in WebPwnChat
Anton Kirsanov 🐸
может потому что резолв по дефолту пойдет по udp? Они формируют пост запрос на 53, который приводит именно к tcp пакету
По дефолту пойдет по udp, но наш DNS сервер отправит флаг tc, который заставит уязвимый сервер повторить запрос по tcp.
источник
18:17пожаловаться#4

AK

Anton Kirsanov 🐸 in WebPwnChat
видимо соль в этом смагглинге, запулив на 53 порт пост данные, они сформировали нужный пакет
источник
18:21пожаловаться#5

AK

Anton Kirsanov 🐸 in WebPwnChat
и этого пакета нет в райтапе
источник
18:22пожаловаться#6

VS

Valeriy Shevchenko in WebPwnChat
было еще такое поверхностное пояснение
https://habr.com/ru/post/511002/
Хабр
Обнаружена опаснейшая уязвимость в Windows DNS Server
Исследователи в области кибербезопасности из компании Check Point раскрыли новую критическую уязвимость, которая затрагивает версии Windows Server 2003–2019 с...
источник
18:24пожаловаться#7

A

Anton in WebPwnChat
Anton Kirsanov 🐸
видимо соль в этом смагглинге, запулив на 53 порт пост данные, они сформировали нужный пакет
Тоже была такая мысль, но смущают тогда степы на HTML странице PoC, типо "Sent NS query, Sent SIG query". То есть в POST запросе они прячут не финальный запрос/ответ. А запускают цепочку.
источник
18:26пожаловаться#8

AK

Anton Kirsanov 🐸 in WebPwnChat
так как http пакет с оверхедом (заголовки), им пришлось выравнивать первичный пакет до 0x504f, подогнав данные поста до валидного днс запроса(что они и назвали смагглингом). Что опять наводит на мысль именно "правильного" dns over tcp пакета
источник
18:32пожаловаться#9

AK

Anton Kirsanov 🐸 in WebPwnChat
вово, так как нет стандартного способа запросить SIG запись
источник
18:34пожаловаться#10

AK

Anton Kirsanov 🐸 in WebPwnChat
из браузера стандартными слоями это будут запросы A записей
источник
18:35пожаловаться#11

AK

Anton Kirsanov 🐸 in WebPwnChat
поэтому и формируется магический пакет
источник
18:35пожаловаться#12

VS

Valeriy Shevchenko in WebPwnChat
Vladimir 0D0A Polyakov\x00
https://github.com/ZephrFish/CVE-2020-1350
GitHub
ZephrFish/CVE-2020-1350
Proof-of-Concept (PoC) script to exploit SIGRed (CVE-2020-1350). Achieves Domain Admin on Domain Controllers running Windows Server 2000 up to Windows Server 2019. - ZephrFish/CVE-2020-1350
а там тебя поджидает шелл рикролл
источник
18:37пожаловаться#13

AK

Anton Kirsanov 🐸 in WebPwnChat
выходит дело обстоит так:
запайплайненный пост запрос гарантирует попадание в одну tcp сессию, они формируют http post запрос на 53 порт, выравнивая http заголовками запроса пакет до 504f байт, пост данные воспринимаются как отдельный dns пакет, в котором они дергают SIG запись, которая и позволяет ответить серверу нужным пакетом с целочисленным переполнением кучи
источник
18:39пожаловаться#14

VP

Vladimir 0D0A Polyak... in WebPwnChat
Valeriy Shevchenko
а там тебя поджидает шелл рикролл
ну вот не даете даже пошутить)
источник
18:40пожаловаться#15

VS

Valeriy Shevchenko in WebPwnChat
на случай если кто не понял - эксплойт в гите - «шуточка за 300»
https://blog.zsec.uk/cve-2020-1350-research/
ZeroSec - Adventures In Information Security
The Day I Trolled The Entire Internet: An Accidental Research Project on CVE-2020-1350
What do you get if you create a binary, a few bash scripts, a README and excellent timing?  CVE-2020-1350
источник
18:41пожаловаться#16

A

Anton in WebPwnChat
Anton Kirsanov 🐸
выходит дело обстоит так:
запайплайненный пост запрос гарантирует попадание в одну tcp сессию, они формируют http post запрос на 53 порт, выравнивая http заголовками запроса пакет до 504f байт, пост данные воспринимаются как отдельный dns пакет, в котором они дергают SIG запись, которая и позволяет ответить серверу нужным пакетом с целочисленным переполнением кучи
Ага, хорошая теория. Видимо в POST они действительно прячут именно SIG request, который через обычный запрос в браузерной строке не отправить.
источник
18:42пожаловаться#17

ПП

Проксимов Прксимович... in WebPwnChat
Valeriy Shevchenko
на случай если кто не понял - эксплойт в гите - «шуточка за 300»
https://blog.zsec.uk/cve-2020-1350-research/
ZeroSec - Adventures In Information Security
The Day I Trolled The Entire Internet: An Accidental Research Project on CVE-2020-1350
What do you get if you create a binary, a few bash scripts, a README and excellent timing?  CVE-2020-1350
lmao
источник
18:45пожаловаться#18

A

Anton in WebPwnChat
Valeriy Shevchenko
на случай если кто не понял - эксплойт в гите - «шуточка за 300»
https://blog.zsec.uk/cve-2020-1350-research/
ZeroSec - Adventures In Information Security
The Day I Trolled The Entire Internet: An Accidental Research Project on CVE-2020-1350
What do you get if you create a binary, a few bash scripts, a README and excellent timing?  CVE-2020-1350
баян)

https://webcache.googleusercontent.com/search?q=cache:qd_k7cfrqNEJ:https://twitter.com/notdan/status/1134559331989434368+&cd=1&hl=ru&ct=clnk&gl=by
источник
18:46пожаловаться#19

VS

Valeriy Shevchenko in WebPwnChat
Такой баян кажется даже @isox_xx проворачивал с аддоном вулнерса для бурпа.
источник
18:47пожаловаться#20