В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1084 membersпожаловаться на группу
2020 July 15

A

Anton in WebPwnChat
Anton Kirsanov 🐸
выходит дело обстоит так:
запайплайненный пост запрос гарантирует попадание в одну tcp сессию, они формируют http post запрос на 53 порт, выравнивая http заголовками запроса пакет до 504f байт, пост данные воспринимаются как отдельный dns пакет, в котором они дергают SIG запись, которая и позволяет ответить серверу нужным пакетом с целочисленным переполнением кучи
"И каким образом это позволит, проэксплуатировать уязвимость, если мы не в LAN? Имеется в виду доставка ссылки на страницу с JavaScript, которую откроет сотрудник, который находится внутри сети?"

То есть этот вариант с браузером это все-таки вариант с фишингом?
источник
18:52пожаловаться#1

AK

Anton Kirsanov 🐸 in WebPwnChat
скорее всего браузер используется как вариант заставить клиента дернуть SIG запись по tcp у злобного днс сервера, в данном случае не вижу сходу ограничений, почему это может быть реализовано только в LAN. Если tcp соединение проходит, и из сети выпускают соединения к 53/tcp то не вижу ограничений, почему это не может быть в интернете.
Есть сходу мысли, как еще заставить windows сервер сделать подобный трюк?
источник
18:56пожаловаться#2

BF

Billy Fox in WebPwnChat
Anton
"И каким образом это позволит, проэксплуатировать уязвимость, если мы не в LAN? Имеется в виду доставка ссылки на страницу с JavaScript, которую откроет сотрудник, который находится внутри сети?"

То есть этот вариант с браузером это все-таки вариант с фишингом?
Да, всё правильно
источник
18:57пожаловаться#3

A

Anton in WebPwnChat
Anton Kirsanov 🐸
скорее всего браузер используется как вариант заставить клиента дернуть SIG запись по tcp у злобного днс сервера, в данном случае не вижу сходу ограничений, почему это может быть реализовано только в LAN. Если tcp соединение проходит, и из сети выпускают соединения к 53/tcp то не вижу ограничений, почему это не может быть в интернете.
Есть сходу мысли, как еще заставить windows сервер сделать подобный трюк?
53 порт может быть закрыт для Интернета
источник
18:58пожаловаться#4

AK

Anton Kirsanov 🐸 in WebPwnChat
угу
источник
18:58пожаловаться#5

A

Anton in WebPwnChat
Anton Kirsanov 🐸
скорее всего браузер используется как вариант заставить клиента дернуть SIG запись по tcp у злобного днс сервера, в данном случае не вижу сходу ограничений, почему это может быть реализовано только в LAN. Если tcp соединение проходит, и из сети выпускают соединения к 53/tcp то не вижу ограничений, почему это не может быть в интернете.
Есть сходу мысли, как еще заставить windows сервер сделать подобный трюк?
мы же можем через nslookup тригернуть эту уязвимость, если мы в LAN?

nslookup -type=SIG evil.com
источник
19:01пожаловаться#6

AK

Anton Kirsanov 🐸 in WebPwnChat
только если оно пойдет через dns.exe, а не dnsapi.dll
источник
19:02пожаловаться#7

AK

Anton Kirsanov 🐸 in WebPwnChat
там же две реализации, и если используется реализация днс клиента dnsapi.dll, то нет баги
источник
19:03пожаловаться#8

AK

Anton Kirsanov 🐸 in WebPwnChat
The fact that this vulnerability does not exist in dnsapi.dll, as well as having different naming conventions between the two modules, leads us to believe that Microsoft manages two completely different code bases for the DNS server and the DNS client, and does not synchronize bug patches between them.
источник
19:04пожаловаться#9

A

Anton in WebPwnChat
Anton Kirsanov 🐸
только если оно пойдет через dns.exe, а не dnsapi.dll
Это я понимаю, но мы атакуем не тачку, с которй запускаем nslookup, а DNS сервер виндовый внутри LAN, который использует dns.exe.
источник
19:04пожаловаться#10

AK

Anton Kirsanov 🐸 in WebPwnChat
так на этом сервере есть обе реализации днса
источник
19:04пожаловаться#11

q

q|z in WebPwnChat
тоже бесит, да? :))
источник
19:04пожаловаться#12

AK

Anton Kirsanov 🐸 in WebPwnChat
и тот же nslookup может использовать клиент либу
источник
19:05пожаловаться#13

A

Anton in WebPwnChat
То есть если запрос из nslookup полетит на уязвимый DNS, то теоретически должно работать.
источник
19:05пожаловаться#14

AK

Anton Kirsanov 🐸 in WebPwnChat
мискузи
источник
19:05пожаловаться#15

AK

Anton Kirsanov 🐸 in WebPwnChat
Anton
То есть если запрос из nslookup полетит на уязвимый DNS, то теоретически должно работать.
имеется ввиду через этот сервер?
источник
19:06пожаловаться#16

A

Anton in WebPwnChat
@akirsanov, в любом случае благодарю, стало немного понятнее.
источник
19:07пожаловаться#17

A

Anton in WebPwnChat
Anton Kirsanov 🐸
имеется ввиду через этот сервер?
да, через уявзимый сервер
источник
19:08пожаловаться#18

q

q|z in WebPwnChat
(мысли вслух)А если к этой штуке присовокупить bgp hijack? :)
источник
19:08пожаловаться#19

AK

Anton Kirsanov 🐸 in WebPwnChat
Anton
да, через уявзимый сервер
в теории почему нет, если там пакет не инкапсулируется в пакет и нет непредсказуемого оверхеда. Но меня не слушайте, я ненастоящий сварщик
источник
19:09пожаловаться#20