ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
23.04.2017, 16:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
137056
Репутация:
11
|
|
Я загружаю свой шелл на фтп, потом мой скрипт эти линки обходит, но когда я пытаюсь получить доступ к шеллу, получаю что документ не найден (Not found). В логах сервера отразилось вот это:
[CODE]
Code:
[Sun Apr 23 07:28:29 2017] [error] [client 194.165.16.76] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:[^[^[^[^
|
|
|
|
23.04.2017, 23:39
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Похоже, что блочит по тайтлу, который отсылается в ответе.
В исходнике WSO попробуй поменять:
Код:
Code:
" . $_SERVER['HTTP_HOST'] . " - WSO " . WSO_VERSION ."
на
Если не поможет, то используй что-то более редкое. |
|
|
|
24.04.2017, 00:00
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Внимательнее изучил регулярку:
[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditL ogParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlE ntityDecode,t:lowercase,ctl:auditLogParts=+E,pass, nolog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^
|
|
|
|
24.04.2017, 11:45
|
|
Guest
Сообщений: n/a
Провел на форуме:
137056
Репутация:
11
|
|
[QUOTE="crlf"]
crlf said:
↑
Внимательнее изучил регулярку:
[CODE]
Code:
SecRule REQUEST_HEADERS_NAMES "x_(?:key|file)\b" "phase:2,rev:'2.0.5',t:none,t:lowercase,ctl:auditL ogParts=+E,pass,nolog,auditlog,msg:'Backdoor access',id:'950110',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule REQUEST_FILENAME "root\.exe" \
"phase:2,rev:'2.0.5',t:none,t:urlDecodeUni,t:htmlE ntityDecode,t:lowercase,ctl:auditLogParts=+E,pass, nolog,auditlog,msg:'Backdoor access',id:'950921',tag:'MALICIOUS_SOFTWARE/TROJAN',tag:'WASCTC/WASC-01',tag:'OWASP_TOP_10/A7',tag:'PCI/5.1.1',severity:'2',setvar:'tx.msg=%{rule.msg}',se tvar:tx.trojan_score=+1,setvar:tx.anomaly_score=+% {tx.critical_anomaly_score},setvar:tx.%{rule.id}-MALICIOUS_SOFTWARE/TROJAN-%{matched_var_name}=%{matched_var}"
SecRule RESPONSE_BODY "(?:[^[^ |
|
|
|
24.04.2017, 19:57
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Из всего, что присутствует в регулярке, в респонсе WSO есть только drwxr, он и палился. Функция wsoPermsвозвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится.
|
|
|
|
24.04.2017, 20:05
|
|
Guest
Сообщений: n/a
Провел на форуме:
137056
Репутация:
11
|
|
Сообщение от crlf
crlf said:
↑
Из всего, что присутствует в регулярке, в респонсе WSO есть только
drwxr
, он и палился. Функция
wsoPerms
возвращает буквенный формат прав доступа. В твоём случае, меняем функцию на вывод цифрового обозначения. А регулярка дефолтная, гуглится. Спасибо большое, решило мою проблему.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
