GoldenLine
Zaloguj się
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: znowu zapawy z apache2 ?

http://www.exploit-id.com/dospoc/apache-httpd-remote-d...

komus to dziala ? bo na jednej maszynce dziala az milo a na reszcie sredniawo albo wcale

wszystkie to apache2 i debian 6.0

moze ktos sprawdzic u siebie ?

czy przypadkiem nie odgrzewam kotletu ?maciej natan milaszewski edytował(a) ten post dnia 22.08.11 o godzinie 11:50
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Gdzieś mi się to już chyba widziało.
U mnie nie działa, odbiło się od mod_security.Arkadiusz Z. edytował(a) ten post dnia 22.08.11 o godzinie 13:13
Link do wypowiedziLink
Marcin Rybak

Marcin Rybak Administrator

Temat: znowu zapawy z apache2 ?

maciej natan milaszewski:
komus to dziala ? bo na jednej maszynce dziala az milo a na reszcie sredniawo albo wcale
odpalasz exploity na swoich maszynach bez wiedzy co robią, jak i kiedy działają? respect
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: znowu zapawy z apache2 ?

Marcin Rybak:
maciej natan milaszewski:
komus to dziala ? bo na jednej maszynce dziala az milo a na reszcie sredniawo albo wcale
odpalasz exploity na swoich maszynach bez wiedzy co robią, jak i kiedy działają? respect

Nie na tylko DO i nie na prod tylko test. I dokladnie widac co one robia .... EOT
i od kiedy robisz za moje sumienie ?maciej natan milaszewski edytował(a) ten post dnia 22.08.11 o godzinie 15:04
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Marcin Rybak:
maciej natan milaszewski:
komus to dziala ? bo na jednej maszynce dziala az milo a na reszcie sredniawo albo wcale
odpalasz exploity na swoich maszynach bez wiedzy co robią, jak i kiedy działają? respect

Środowisko testowe. Taki drobiazg, którego każdy admin używa do crash testów.
Ja używam vm`ek odtwarzanych z backupów.
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

jak tylko serwer odpowiada kodem 206 (zmienna x w skrypcie) to działa jak trzeba :F

[EDIT]
Pobawiłem się :-) Oczekiwany kod odpowiedzi można zmienić na dowolny inny (np 200) i też działa :F Zastanawiam się w czym dziura? mod_deflate? Wyłączyłem - działa dalej (po zmianie kodu odpowiedzi). WTF?! To komu wyłączyć serwerek? :D
[EDIT2]
Qrde, Ubuntu Server LTS zarżnąłem ale Arch się nie daje... Troszkę forkuje, ale głowy nie ukręca... Szkoda! (response 200)Bartosz Mazurkiewicz edytował(a) ten post dnia 22.08.11 o godzinie 19:52
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: znowu zapawy z apache2 ?

Zanjomy podpowiedział ze jest gdzies latka limitujaca ilosc byterange np do max 50.maciej natan milaszewski edytował(a) ten post dnia 22.08.11 o godzinie 20:03
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

mod_security chyba posiada takie coś...
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

maciej natan milaszewski:
Zanjomy podpowiedział ze jest gdzies latka limitujaca ilosc byterange np do max 50.

Są też na klawiaturze: shift, kropka, przecinek ... i inne fanaberie.
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: znowu zapawy z apache2 ?

Moj blad :)
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Workaround (nie mój ale zamieszczam bo działa)

RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Bartosz Mazurkiewicz:
Workaround (nie mój ale zamieszczam bo działa)

RewriteCond %{REQUEST_METHOD} ^(HEAD|GET) [NC]
RewriteCond %{HTTP:Range} ([0-9]*-[0-9]*)(\s*,\s*[0-9]*-[0-9]*)+
RewriteRule .* - [F]
http://article.gmane.org/gmane.comp.apache.announce/58

Jeszcze jeden workaround z mod_headers.
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

maciej natan milaszewski:
http://www.exploit-id.com/dospoc/apache-httpd-remote-d...

komus to dziala ? bo na jednej maszynce dziala az milo a na reszcie sredniawo albo wcale

wszystkie to apache2 i debian 6.0

moze ktos sprawdzic u siebie ?

Dziala, dziala.

Zeby sprawdzic czy zadziala, bez odpalania exploita, wystarczy telnet na port 80 i "HEAD / HTTP/1.1". Jesli w odpowiedzi jest "Accept-Ranges: bytes", exploit zadziala jesli nic nie modyfikuje naglowka "Range" po stronie serwra.
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Dawno tu nie zaglądałem ale jestem w szoku Waszej ignorancji i niewiedzy z tego tematu oraz ogólnie security.
(Żeby nie było moja wypowiedź tyczy się większości a nie wszystkich ;])
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Sam twórca exploita nie wiedział. Początkowo został zgłoszony jako dziura w module "deflate" (jak widać ze skryptu). Ale Oskarze rozwiń temat bo nie wiem o co Ci chodzi.
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Chodzi o to, że ludzie uruchamiają na swoich maszynach narzędzia nie wiedząc do czego one służą i co robią.
Potem jeszcze debatują nad tym.
To wszystko śmierdzi jak "apache remote root exploit" ;-)
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Oskar Wyciślak:
Chodzi o to, że ludzie uruchamiają na swoich maszynach
Z reguły testowych wirtualkach przynajmniej Ci rozsądni.
narzędzia nie wiedząc do czego one służą i co robią.
Skoro biorą się za testy exploita to logika zakłada, że wiedzą co robią no chyba, że to tacy testerzy dla których Metasploit to jakiś dziwny termin, może gierka flashowa?
Potem jeszcze debatują nad tym.
Jak wiedzą o co chodzi to dlaczego nie? Dlaczego nie podzielić się uwagami z innymi czy spostrzeżeniami na temat przetestowanego workarounda?

P.S. Troll mode?
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Z tym exploitem to w ogóle jest ciekawa historia... Został wrzucony na listę Apache w piątek wieczór (czasu ichniejszego) i praktycznie nikt się nim nie zajmował. Poza tym jak już wspomniałem - sam twórca źle rozpoznał w czym problem i faktycznie na niezmodyfikowany kod exploitu wystarczy wyłączyć mod_defalte (skrypt sprawdza kod odpowiedzi serwera a nie to czy akceptuje Range). Problem zaczął się po zmodyfikowaniu kodu... o czym pisałem parę postów wyżej (i co od razu zgłosiłem na listę Apache).

Nie widzę nic złego w testowaniu na jakiś maszynach i pisaniu o tym, zresztą na innych grupach (w tym Apache) zrobiło się całkiem głośno po tym jak potwierdzone zostało że dziura nie ma nic wspólnego z mod_deflate i działa na każdej wersji Apache ;-)
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

Wirtualkach nie wirtualkach, wyraźnie widać, że np. autor postu nie miał pojęcia co robi ten kod pytając "u Was działa?". Gdyby wiedział co robi to by nie pytał.

Ten problem nie zaczął się po zmodyfikowaniu kodu tego exploita tylko w 2005 roku ;-)

Ot taka ciekawostka ;]

Co do ludzi odpalających cudze rzeczy i nie mających o nich pojęcia to jest taki dość zapomniany termin - "script kiddies"! :)))
Link do wypowiedziLink

konto usunięte

Temat: znowu zapawy z apache2 ?

2005? Na jakiej podstawie twierdzisz, że ta dziura jest nie załatana od 6 lat? Ja powiem że od 1998 (premiera Apache 1.3 (również podatny)). To dość poważna luka (nie ma nic wspólnego z przejmowaniem praw roota), która zabija serwer na miejscu a Ty twierdzisz że wiedziano o niej o 6 lat i nikt przez ten czas nie zrobił patcha (nieoficjalne składają się z całych 10-ciu linijek)? Pokaż numer CVE opisujący tą lukę z 2005...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj