2014 Kasım ARŞİVİ

BGA Blog yazıları

Oracle Forms and Reports 11.1 Uygulamasının İstismar Edilmesi
2014

Oracle Forms and Reports 11.1 Uygulamasının İstismar Edilmesi

Oracle form, Oracle veritabanı ile etkileşimli ekranlar oluşturabilen Oracle Fusion Middleware’in bir eklentisidir. Oracle Report ise Oracle form’un raporlama aracıdır. Bu yazıda Oracle Report üzerindeki açıklığın nasıl istismar edileceği anlatılmıştır. Saldırgan IP’si: 6.6.6.51 Hedef Oracle Repor IP’si: 6.6.6.52 Oracle Reports’un aşağıdaki sayfasında Oracle Reports’un her biri farklı görevleri yapmakta olan komut listesi görülmektedir. Tüm komutlar çağrılıp kontrol edildiğinde istismar sırasında kullanılabilecek bazı önemli komutlar olduğu görülebilir. Öncelikle showenv komutundan bahsetmek gerekirse, bu…
Devamı
Bash ‘Shellshock’ Güvenlik Açıklığı İstismar Yöntemleri
2014

Bash ‘Shellshock’ Güvenlik Açıklığı İstismar Yöntemleri

CGI(Common Gateway Interface) web sayfaları ve web uygulamalarına dinamik içerik üretmek için kullanılan standart bir yöntemdir. Bu yöntem sistem üzerinde bash komutlarının çalıştırılabilmesine de olanak sağlamaktadır. Bash kabuğu üzerinde farkedilen bir güvenlik açığı sayesinde ise bu avantajlı durum bir anda atak vektörü haline gelmiştir. Bu blog yazsısında, hedef sistem üzerinde /cgi-bin/ klasörü altında bulunan dosyalar üzerinden bu açıklığın nasıl istismar edilebileceği uygulamalı olarak anlatılacaktır. Yapılan uygulamalar http://vulnhub.com/entry/pentester-lab-cve-2014-6271-shellshock,104/ adresinde bulunan bu zafiyete özel…
Devamı