Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   mod_security блочит доступ к wso (https://forum.antichat.xyz/showthread.php?t=450798)

blackbox 23.04.2017 16:11
Я загружаю свой шелл на фтп, потом мой скрипт эти линки обходит, но когда я пытаюсь получить доступ к шеллу, получаю что документ не найден (Not found). В логах сервера отразилось вот это:

[CODE]
Code:
[Sun Apr 23 07:28:29 2017] [error] [client 194.165.16.76] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:[^[^[^[^

crlf 23.04.2017 23:39
Похоже, что блочит по тайтлу, который отсылается в ответе.

В исходнике WSO попробуй поменять:

Код:
Code:
" . $_SERVER['HTTP_HOST'] . " - WSO " . WSO_VERSION ."
на

Код:
Code:
XXX
Если не поможет, то используй что-то более редкое.

crlf 24.04.2017 00:00
Внимательнее изучил регулярку:

[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditL ogParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlE ntityDecode,t:lowercase,ctl:auditLogParts=+E,pass, nolog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^

blackbox 24.04.2017 11:45
[QUOTE="crlf"]
crlf said:

Внимательнее изучил регулярку:
[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditL ogParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlE ntityDecode,t:lowercase,ctl:auditLogParts=+E,pass, nolog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^[^

crlf 24.04.2017 19:57
Из всего, что присутствует в регулярке, в респонсе WSO есть только drwxr, он и палился. Функция wsoPermsвозвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится.

blackbox 24.04.2017 20:05
Цитата:
Сообщение от crlf
crlf said:

Из всего, что присутствует в регулярке, в респонсе WSO есть только
drwxr
, он и палился. Функция
wsoPerms
возвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится.
Спасибо большое, решило мою проблему.


Время: 15:51