Форум информационной безопасности - Codeby.net
Статья WordPress Plugin Insert or Embed Articulate Content into WordPress - Remote Code Execution
Доброго времени суток форумчане. Сегодня я расскажу вам про удалённое выполнение кода через плагин WordPress Insert or Embed Articulate Content into WordPress.
В этом плагине отсутствует фильтр который бы проверял на 'вредность' php файл.
Wordpress - Система управления содержимым сайта с открытым исходным кодом; написана на PHP; сервер базы данных - MySQL; выпущена под лицензией GNU GPL версии 2. Сфера применения - от блогов до достаточно сложных новостных ресурсов и интернет-магазинов. Встроенная система «тем» и «плагинов» вместе с удачной архитектурой позволяет конструировать проекты широкой функциональной сложности.
Поехали!
Эта уязвимость была найдена 2019-06-11 и всё ещё миллион сайтов уязвимы перед ней.
Чтобы выполнить код нужно быть авторизированным пользователем в системе и иметь доступ к плагину.
## 1. Для начала нужно создать .zip файл с двумя файлами: index.html, index.php
В этом плагине отсутствует фильтр который бы проверял на 'вредность' php файл.
Wordpress - Система управления содержимым сайта с открытым исходным кодом; написана на PHP; сервер базы данных - MySQL; выпущена под лицензией GNU GPL версии 2. Сфера применения - от блогов до достаточно сложных новостных ресурсов и интернет-магазинов. Встроенная система «тем» и «плагинов» вместе с удачной архитектурой позволяет конструировать проекты широкой функциональной сложности.
Поехали!
Эта уязвимость была найдена 2019-06-11 и всё ещё миллион сайтов уязвимы перед ней.
Чтобы выполнить код нужно быть авторизированным пользователем в системе и иметь доступ к плагину.
## 1. Для начала нужно создать .zip файл с двумя файлами: index.html, index.php
echo "<html>hello</html>" > index.htmlecho "<?php echo...Статья Самый простой логгер
Всем привет, многие знают такое понятие, как логгер ( если нет, то ниже есть определение ) , но многие такие сайты платные и , что бы узнать информацию про человека вам приходится платить деньги, либо сидеть, стиснув зубы.
Сегодня мы с Вами напишем САМЫЙ ПРОСТОЙ логгер, который может быть. Он будет возвращать данные от сервера, т.е. ip , устройство, с которого сидит пользователь. Для этого нам понадобится бесплатный хостинг ( я буду использовать 000webhost ). И так, приступим.
Для начала создадим файл index.php и напишем стандартную разметку страницы, выглядит она вот так:
И так, приступим к основной части, напишем скрипт на php, который будет выводить всю информацию от сервера.
Первым делом откроем тег php
Код:
Логгер - программа, предназначенная для вычисления данных о пользователе, который заходит на Ваш сайт.Для начала создадим файл index.php и напишем стандартную разметку страницы, выглядит она вот так:
Код:
<!DOCTYPE html>
<html>
<head>
<meta charset="URF-8"/>
<title>My photoes</title>
</head>
<body>
</body>
<html></htmlПервым делом откроем тег php
Код:
<?php...Конкурс Reverse Engineering/Анализ различных Malware
Статья для участия в конкурсе на codeby.
Хэй, это моя первая статья здесь и уже для конкурса. Здесь будет минимум воды, статья разделена на 2 части:
Miner- программа для добычи криптовалюты...
Хэй, это моя первая статья здесь и уже для конкурса. Здесь будет минимум воды, статья разделена на 2 части:
- Вступление, справка
- Анализ ПО
Вступление
Reverse engineering или же Обратная Разработка - это исследование/анализ определенного ПО, также документации на него с целью понять принцип его работы. Например, чтобы как-либо модифицировать его или произвести поиск уязвимых мест в исходном коде. Есть огромное количество программ, позволяющих вам провернуть подобное многие из них будут рассмотрены здесь.
Miner- программа для добычи криптовалюты...
Статья ASM обучение #2 Установка ПО и первая программа
Сегодня мы установим среду разработки, и создадим свою первую программу
Сборка-Настройка Среды
Настройка Локальной Среды
Язык ассемблера зависит от набора инструкций и архитектуры процессора. В этом уроке мы сосредоточимся на процессорах Intel-32, таких как Pentium. Чтобы следовать этому руководству, вам понадобится:
Установка NASM
Если вы выберете "инструменты разработки" при установке Linux, вы...
Сборка-Настройка Среды
Настройка Локальной Среды
Язык ассемблера зависит от набора инструкций и архитектуры процессора. В этом уроке мы сосредоточимся на процессорах Intel-32, таких как Pentium. Чтобы следовать этому руководству, вам понадобится:
- IBM PC или любой эквивалентный совместимый компьютер
- Копия операционной системы Linux
- Копия программы ассемблера NASM
- Есть много хороших ассемблерных программ, таких как ...
- Ассемблер Microsoft (MASM)
- Борланд Турбо ассемблер (ТАСМ)
- Ассемблер GNU (GAS)
Установка NASM
Если вы выберете "инструменты разработки" при установке Linux, вы...
Как создать графический интерфейс приложению + как скомпилировать его в .exe
Добрый день, сегодня мы с Вами научимся делать графический интерфейс приложениям в Python и компилировать их в .exe файл. Наверное, многих новичков уже достали консольные приложения, ведь их сложно показать другу и выглядеть будет не так эффектно. Сегодняшнюю статью я разбил на две части, а именно:
И так, без долгих предисловий приступим.
Глава 1. Графический интерфейс:
Для создания интерфейса мы будем использовать всеми нами любимый pyside и его QT designer. Для этого нам потребуется:
Если у Вас установлен Python выше 3.4 , то переустановите его , либо установите вместе с существующим.
И так, заходим в консоль и первым делом проверяем, что у нас установлена нужная версия Python. Далее нам необходимо установить библиотеку pyside. Делается...
Код:
1. Создание графического интерфейса приложения.
2. Компиляция приложения на Python в .exe файл.Глава 1. Графический интерфейс:
Для создания интерфейса мы будем использовать всеми нами любимый pyside и его QT designer. Для этого нам потребуется:
Код:
1. Python v3.4 и ниже.
2. Прямые руки ( желательно ).И так, заходим в консоль и первым делом проверяем, что у нас установлена нужная версия Python. Далее нам необходимо установить библиотеку pyside. Делается...
Статья Динамическая смена внешнего IP
Доброго времени суток всем друзьям и гостям форума codeby.net. Сегодня я расскажу вам про способ решения возникшей передомной задачи.
Был у меня под рукой написан некий Crawler, который обдирает объявления с сайта X, и все было бы хорошо, но этот ресурс через некоторое количество запросов начинал блокировать мой IP.
Я подумал, что было бы неплохо через случайное число запросов менять свой внешний IP, что позволит обойти блокировку.
Так же следует упомянуть про некоторые ограничения, софт который я юзал был написан под Windows, его функционал меня полностью устраивал и менять что то внутри я не хотел.
И так думаю постановка задачи ясна, теперь перейдем к решению.
Нам понадобится:
1. Скачать и установить на свою систему две тулзы:
-
-
2. Источник с SSH-доступами
Установку софта мы опустим, думаю трудностей у читателей не возникнет. Поговорим немного о его...
Был у меня под рукой написан некий Crawler, который обдирает объявления с сайта X, и все было бы хорошо, но этот ресурс через некоторое количество запросов начинал блокировать мой IP.
Я подумал, что было бы неплохо через случайное число запросов менять свой внешний IP, что позволит обойти блокировку.
Так же следует упомянуть про некоторые ограничения, софт который я юзал был написан под Windows, его функционал меня полностью устраивал и менять что то внутри я не хотел.
И так думаю постановка задачи ясна, теперь перейдем к решению.
Нам понадобится:
1. Скачать и установить на свою систему две тулзы:
-
-
2. Источник с SSH-доступами
Установку софта мы опустим, думаю трудностей у читателей не возникнет. Поговорим немного о его...
Статья Cisco RV130W 1.0.3.44 Remote Stack Overflow - удалённое переполнение стака и выполнение команд на роутере
Доброго времени суток, форумчане. Сегодня мы разберём свежий эксплойт для переполнения буфера Cisco rv130w версии 1.0.3.44.
Кто не знает что такое переполнение буфера:
переполнение буфера - явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера, и как правило, что записывается за пределами буфера называется - shellcode.
Что такое шеллкод:
шелл-код - код запуска оболочки, это двоичный исполняемый код, который обычно передаёт управление командному процессору, например '/bin/sh'
Важно знать: один стек равен 4 байтам.
Как выглядит переполнение буфера:
А вот тут показывается, как выглядит удалённое переполнение буфера:
Стоит упомянуть, что чем меньше шеллкод, тем лучше, так как, если шеллкод больше буфера, то шеллкод не отработает. Например буфер=64 байта, а шеллкод=128 байт - это не правильно. Правильно будет вот так: буфер=64 байта, а...
Кто не знает что такое переполнение буфера:
переполнение буфера - явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера, и как правило, что записывается за пределами буфера называется - shellcode.
Что такое шеллкод:
шелл-код - код запуска оболочки, это двоичный исполняемый код, который обычно передаёт управление командному процессору, например '/bin/sh'
Важно знать: один стек равен 4 байтам.
Как выглядит переполнение буфера:
А вот тут показывается, как выглядит удалённое переполнение буфера:
Стоит упомянуть, что чем меньше шеллкод, тем лучше, так как, если шеллкод больше буфера, то шеллкод не отработает. Например буфер=64 байта, а шеллкод=128 байт - это не правильно. Правильно будет вот так: буфер=64 байта, а...
Статья Поднимаем GSM станцию с помощью YateBTS и bladeRF
Привет codeby.net!
Не так давно ко мне в руки попал такой устройство как bladeRF x115. Первое что мне захотелось сделать это поднять свою GSM станцию. Когда я начал этим заниматься у меня возникли сложности в процессе установки и настройки необходимого софта. Информации на русскоязычных площадках я не нашел а на зарубежных информация устарела. В процессе пришлось пройти через все грабли самому. В связи с этим собственно появилась мысль описать процесс установки и настройки YateBTS под bladeRF.
Настраивать будем под Ubuntu 18.04.
Для начало установим необходимые пакеты:
sudo apt-get install -y libbladerf-dev git subversion autoconf apache2 php libapache2-mod-php g++ make libgsm1-dev libgusb-dev rlwrapЗатем установим ПО для bladeRF:
Код:
sudo add-apt-repository ppa:bladerf/bladerf
sudo apt-get update
sudo apt-get install bladerfУстановим FPGA в...
Конкурс Бесплатные билеты на OFFZONE
Для тех, кто не желает участвовать в конкурсе -
OFFZONE - международная конференция по практической кибербезопасности
17 - 18 июня 2019
Суть конкурса - написать статью на тему информационной безопасностиOFFZONE - международная конференция по практической кибербезопасности
17 - 18 июня 2019
- Конкурс стартует сразу, после его публикации на форуме
- Окончание конкурса 12 июня в 23:59
О призовых местах:
