Merhaba Betikler ile uğraşmadan şöyle bir curl komutu işe yarayacaktır.
curl -v IP_ADDRESS/ -H "Host: notexist" -H "Range: bytes=0-18446744073709551615" 2015-04-15 11:57 GMT+03:00 Halil DALABASMAZ (BGA) < [email protected]>: > Selamlar, > > Asagidaki linkte bulunan Python kodu ile sunucunun zafiyeti barindirip > barindirmadigi test edilebilir. > > http://pastebin.com/ypURDPc4 > > 15 Nisan 2015 09:02 tarihinde Mert SARICA <[email protected]> yazdı: > >> Selamlar, >> >> HTTP.sys 'de keşfedilen kritik zafiyetin istismar edilmesi ile hedefteki >> windows sunucuya özel olarak hazırlanmış bir http paketi gönderilerek >> sistem üzerinde uzaktan komut çalıştırmak mümkün olabilmektedir. İlgili >> yamanın sunucularınıza yüklenmesi konusunu hızlıca değerlendirmenizi >> tavsiye ederim. >> >> Referans: https://technet.microsoft.com/library/security/MS15-034 >> >> Görüşmek dileğiyle, >> >> -- >> >> http://www.mertsarica.com >> >> http://twitter.com/mertsarica >> http://tr.linkedin.com/in/mertsarica >> CISSP, SSCP, OSCP, OPST, CREA & CEREA >> >> ------------------- >> CypSec Siber Güvenlik Konferansı - KKTC >> 15-16-17 Nisan 2015 - Girne Amerikan Üniversitesi >> >> ------------------- >> > > > > -- > > *Halil DALABASMAZPenetration Testing Specialist* > > BGA Bilgi Güvenliği Ltd. Şti. > 19 Mayıs Mah. İnönü Cad. Çetinkaya İş Merkezi NO: 92 Kat: 4 Kadıköy, > İSTANBUL > Tel: +90 216 474 00 38 | Fax: +90 216 474 93 86 | Mobile: +90 530 065 88 > 56 > [email protected] | www.bga.com.tr | blog.bga.com.tr | > halildz.com > > *YASAL UYARI:* Bu e-postanın içerdiği bilgiler (ekleri de dahil olmak > üzere) gizlidir. Sahibinin onayı olmaksızın içeriği kopyalanamaz, üçüncü > kişilere açıklanamaz veya iletilemez. Bu mesajın gönderilmek istendiği kişi > değilseniz (ya da bu e-postayı yanlışlıkla aldıysanız), lütfen yollayan > kişiyi haberdar ediniz ve mesajı sisteminizden derhal siliniz. BGA, bu > mesajın içerdiği bilgilerin doğruluğu veya eksiksiz olduğu konusunda bir > garanti vermemektedir. Bu nedenle, bilgilerin ne şekilde olursa olsun > içeriğinden, iletilmesinden, alınmasından, saklanmasından BGA sorumlu > değildir. Bu mesajın içeriği yazarına ait olup, BGA’nın görüşlerini > içermeyebilir. Bu e-posta bizce bilinen tüm bilgisayar virüslerine karsı > taranmıştır. > *DISCLAIMER:* This e-mail (including any attachments) may contain > confidential and/or privileged information. Copying, disclosure or > distribution of the material in this e-mail without owner authority is > strictly forbidden. If you are not the intended recipient (or have received > this e-mail in error), please notify the sender and delete it from your > system immediately. BGA makes no warranty as to the accuracy or > completeness of any information contained in this message and hereby > excludes any liability of any kind for the information contained therein or > for the information transmission, reception, storage or use of such in any > way whatsoever. Any opinions expressed in this message are those of the > author and may not necessarily reflect the opinions of BGA. This e-mail has > been scanned for all computer viruses known to us. > > ------------------- > CypSec Siber Güvenlik Konferansı - KKTC > 15-16-17 Nisan 2015 - Girne Amerikan Üniversitesi > > ------------------- > -- Sr. Information Security Engineer https://www.mehmetince.net
------------------- CypSec Siber Güvenlik Konferansı - KKTC 15-16-17 Nisan 2015 - Girne Amerikan Üniversitesi -------------------
