769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
hexcurse - что-то попроще не вылезая из консоли.
hexcurse - малоизвестная классика среди hex-редакторов.
Стандартный, двухпанельный ncurses-редактор без особых изысков.
Не смотря на то, что проект заброшен (последний коммит от 2018), hexcurse вполне актуален и доступен в репозиториях.
Как и для всех инструментов, работающих в cli, стоит ознакомится с шорткатами.
HexWalk - это кроссплатформеный Hex-редактор.
Основан на таких проектах с открытым исходным кодом, как qhexedit2, binwalk и QT.
Функционал:
- Advanced Find (поиск шаблонов в бинарных файлах на основе HEX, UTF8, UTF16 и regex).
- Интеграция с Binwalk
- Анализ энтропии
- Калькулятор хэшей
- Конвертер Bin/Dec/Hex
- Редактирование шестнадцатеричных файлов
- Diff-анализ файлов
- Byte Patterns для разбора заголовков
Для использования функционала binwalk, сам binwalk должен быть установлен. Для Linux достаточно установки из пакетного менеджера, в Windows уже свои особенности.
QT5 продолжает оскорблять чувства эстетов, но gui к binwalk это хорошо. (хоть и не критически необходимо).
RSS формат старый, но ещё применимый. Если следите за новостями, нет необходимости лезть в браузер и листать ленту.
Выбрал фиды, закинул в ридер и всё.
Сделал небольшую подборку security-related RSS фидов:
- в блоге
- сырой markdown
P.S. Собрал пару фидов в wtfutil, вроде даже удобно.
Журналов по кибер-безопасности много, а по физической безопасности почти ничего нет.
Почти.
Нашёл Journal of Physical Security, бесплатное онлайн-издание, посвященное физическим аспектам безопасности.
Выпусков мало, (выходят раз в год, пока что 15 штук, в этом году пока ничего нет), зато хорошие.
noir - утилита для составления поверхности атаки на основе сканирования исходного кода.
Умеет:
- определять язык и фреймворк по исходному коду
- находить все эндпоинты API, параметры, методы, заголовки и веб-страницы на основе анализа кода
- экспортировать результаты для импорта в Owasp ZAP, BurpSuite, Caido.
- так же есть экспорт в форматах HAR и JSON
Готовой бинарной сборки нет, работает из Docker или собирать из исходников. Проект написан на crystal, так что будет необходимо его установить.
Для macOS можно установить из brew.
Поддерживаемые языки и фреймворки:
Crystal (Kemal)
Go (Echo и Gin)
Python (Django и Flask)
Ruby (Rails и Sinatra)
Php
Java (Jsp, Armeria, Spring)
Kotlin (Spring)
JS (Express, Next)
C# (ASP.NET MVC)
P. S. С исходниками, полученными через sourcemap работает плохо. Но с полноценными проектами проблем нет.
P. P. S. Список эндпоинтов в проектах на JS/TS мне однозначно нравится. Ради такого можно потерпеть Crystal.
К слову о httpx, который от Project Discovery.
httpx - инструмент, принимающий на вход список хостов и поддоменов и возвращает URL-адреса, где работает HTTP. Он также может показывать подробную информацию о статус-кодах, времени ответа сервера, IP-адресе хоста, заголовке страницы и многое другое. Он особенно полезен для поиска активных ресурсов, позволяя перебирать статус-коды или фильтровать их.
Использование:
Сканирование из списка
httpx -list hosts.list -silent -probeЛибо можем передать список из пайпа:
cat hosts.list | httpxПоиск кодов ответа (200, 302)
httpx -l hosts.list -sc -mc 200,302Поиск узлов со статус-кодом 403 и сохранение вывода в файл
httpx -l domains.list -mc 403 -o 403.txtПроверка обхода хостов за 403 c помощью forbiddenpass:
httpx -l domains.list -mc 403 -o 403.txt ; python3 forbiddenpass.py -d 403.txtСканируем вместе с subfinder
subfinder -d example.com -silent | httpx -title -tech-detect -status-code
Читать полностью…
Человеку (или даже людям) которые пишут ботов, которые активно пишут в комментариях с одной стороны хочется в руки насрать, с другой стороны хочется, чтобы такой навык не пропадал.
Интересно сделано, но применено в говну.
Моргните, если вы в рабстве у Amazon Ozon. Или через бота напишите.
Интересная theowni/a-practical-approach-to-sbom-in-ci-cd-f3ce8071c0fa">статья про интеграцию SBOM в CI/CD на основе OWASP CycloneDX и OWASP Dependency Track на примере проектов на Java и Python.
P.S. Идею можно развить дальше и интегрировать Dependency Track с DefectDojo.
Выглядит интересней чем связка DefectDojo и Trivy, но оно не будет рабоать вне CI/CD.
Лучше поздно, чем никогда.
Positive Technologies закончили цикл статей "Как начать заниматься багхантингом веб-приложений"
Часть 1
Часть 2
Часть 3
Книга недели.
Не откровение, но очень хорошая книга про полевой пентест.
Самодельные девайсы, взлом с дрона и прочий Watch Dogs в комплекте.
В принципе, можно читать не только безопасникам. Пропускаем блоки кода и читаем как детектив.
В цифре ещё нет, но в бумаге есть у издателя.
В бумаге советую взять, качество печати крутое.
И про пенетраторов AD тоже не забыли.
У Orange Cyberdefense есть гигантская и подробная майндмапа по пентесту Active Directory.
Монументальная штука.
Репозиторий:
https://github.com/Orange-Cyberdefense/ocd-mindmaps/
Страница на github.io, где можно посмотреть актуальный и архивные варианты:
https://orange-cyberdefense.github.io/ocd-mindmaps/
На правах пятничного оффтопа.
Все совпадения случайны, все действующие лица выдуманы. (или нет)
Мой CTO ебашит вообще адовые cервисы. Ну такой вот примерно рецепт усредненный, потому что вариаций масса. Берется toolname, он не автоматизируется, автоматизировать – это не про моего CTO. Он берет этот сервис, вываливает его в клауд и начинает пилить. Добавляет в него огромное количество пользователей, данных, конфигов кривых и не очень, sql для вязкости, и отсутвие логов сверху. Все это конфигурится до дыма. Потом снимается с тестинга и остужается на проде. Потом CTO заносит и щедро полив "we migrate to new tools" начинает внедрять. При этом внедряет шкрябая по сервису документацией. Внедряет и приговаривает полушепотом "Seems like good idea". При этом у него на лбу аж пот выступает. Надо ли говорить о том, какой потом дичайший когнитивный диссонанс? Головняк такой, что девопсы из проекта уходят.
Всем хороших выходных.
wtfis - whois сына маминой подруги, который может использовать несколько разных источников данных:
- VirusTotal (минимально необходимый источник, для всех видов поиска)
- Passivetotal (для всех видов поиска)
- IP2Whois (поиск по домену\FQDN)
- IPWhois (поиск по ip)
- Shodan (поиск по ip)
- Greynoise (поиск по ip)
Установить можно через pip:pip install wtfisТак же есть возможность запуска в Docker.
Для настройки требуются только API-токены, которые необходимо указать в переменных окружения:
- VT_API_KEY (required) - Virustotal API key
- PT_API_KEY (optional) - Passivetotal API key
- PT_API_USER (optional) - Passivetotal API user
- IP2WHOIS_API_KEY (optional) - IP2WHOIS API key
- SHODAN_API_KEY (optional) - Shodan API key
- GREYNOISE_API_KEY (optional) - Greynoise API key
Либо же переменные можно указать в файле ~/.env.wtfis.
Репозиторий: github.com/pirxthepilot/wtfis
Пример конфига: github.com/pirxthepilot/wtfis/blob/main/.env.wtfis.example
osintui - сравнительно неплохой OSINT-инструмент с tui.
Есть интеграции:
- shodan
- censys.io
- virustotal
osintui написан на Rust (который ещё придется ставить), так что установка происходит через cargo:cargo install osintuiВсе настройки хранятся в файле ~/.osintui/config/config.tomlDocker не завезли, но и ладно, так как инструмент больше фановый. Но выглядит занятно, этого не отнять.
ImHex - hex-редактор для серьезных ребят.
Как описывает автор: "A Hex Editor for Reverse Engineers, Programmers and people who value their retinas when working at 3 AM."
Функционал богатый и поддерживает множество архитектур за счёт использования Capstone (ARM64 и MISP везде есть, но и пусть тут будет). А так же есть поддержка правил Yara.
Кроме того, расширяется плагинами прямо из самого редактора.
И тёмная тема по умолчанию, это довольно важно. И Wikipedia term definition finder.
А ещё можно пощупать ImHex онлайн тут.
Устроим вечер hex-редакторов
Если вы не реверсер, то hex-редактор в вашем арсенале штука не самая важная, а по этой причине чаще используется то, что под рукой: hexedit, hexeditor, xxd.
Но hexedit хоть и функционален, но не очень удобен, hexeditor вызывает инфаркт глаз, а xxd хоть и хорош, но довольно красноглаз и уместен скорей в пайплайнах.
Сегодня посмотрим на несколько редакторов, достойных внимания.
GUI:
HexWalk
ImHex
CLI:
vim-hexedit
hexcurse
Искал медь, а нашёл золото.
Искал книги из далёкого прошлого: "Телевидение?.. Это очень просто!", "Радио?.. Это очень просто!" за авторством Евгения Айсберга и "Занимательная физика" за авторством Якова Перельмана.
Книги из периода 1960-1990 годов, разброс большой, но убил сразу двух зайцев.
- сайт с книгами publ.lib.ru. Это уже отдельно взятый артефакт из начала двухтысячных. Если вы не застали веб тех времен, вам стоит глянуть на этот монумент.
- Сами книги. Издания за разные годы, в куче вариантов. Очевидно, что большая часть в djvu, но оно того стоит.
Торрентом бы это всё утащить было бы отлично, но ничего похожего не нашёл.
P.S. Ссылки на книги, если кому-то интересно:
Телевидение?.. Это очень просто!
Радио?.. Это очень просто!
Занимательная физика. Книга 1.
Занимательная физика. Книга 2.
iPhone 15 только вышел, а stacksmashing уже вовсю ковыряет JTAG.
Обновился и соответствующий тулкит:
- Прошивка для адаптера на базе Raspberry Pi Pico
- Apple Silicon to Apple Silicon VDM utility
Но в целом очень интересно, но ничего не понятно.
Продолжаем наблюдение.
AWS Incident Response Cheat Sheet от Cado Security.
В принципе, всё как обычно. Не считая того момента, что скорей всего без курсов от AWS вы в их сервисах не разберетесь.
Коллизия имён проектов.
Есть два хороших инструмента:
1. cURL-образный клиент, который можно использовать и в cli и как библиотеку Python.
2. инструмент от Project Discovery, который может проверять наличие веба из списка хостов.
Так вот, первый называется httpx, а второй называется... httpx.
Название конечно хорошее, но далеко не сразу можно понять, почему пайп или скрипт работает не совсем так, как ожидается.
"... или живите дальше в проклятом мире, который сами и создали".
Ещё немного Мексики, но уже в формате "Киберпанк, который мы заслужили". Центр выполнения заказов Amazon, Тихуана.
High tech, low life как есть.
Source:
Business Insider: Photos of a new, sprawling Amazon warehouse in Mexico surrounded by deteriorating shacks have gone viral as the tech giant continues to expand its footprint internationally
Дополнительно хочу добавить пару репозиториев
Awesome Bug Bounty Tools - awesome-репа инструментов для баг-хантеров.
Bug-bounty - подзаброшенная, но интересная репа. Список тулов посредственный, но есть неплохой чек-лист и даже список гугл-дорков для поиска Bug Bounty программ.
Подглядываем через Sourcemaps
Зачем нужны sourcemaps в JavaScript?
Файлы Source-map полезны при отладке минифицированных JavaScript-файлов. Но они могут быть полезны злоумышленнику или пентестеру.
Вооружаемся Burp, DevTools и sourcemapper и идём читать.
Я тут обзавёлся оффтоп-каналом. Около-IT, книги, алкоголь, музыка и прочий бред в комплекте.
P.S. А ещё я наконец-то выловил и забанил ботов в комментах.
Майндмапы всё сделают лучше. (или хотя бы понятней)
Мануалы и офф. документация это хорошо, но иногда нужно что-то наглядное посмотреть-показать. И тут без майндмап никуда.
Например:
ffuf
Display Filter в Wireshark
Nmap
Репозиторий:
https://github.com/Ignitetechnologies/Mindmap
А ещё у авторов есть интересный блог, тоже советую почитать.
И твиттер с картинками, куда без этого.
OSINTBuddy - Maltego-образный OSINT-комбайн.
Ещё в beta-версии, но уже выглядит интересно.
Как и в Maltego, работа построена на аналоге Transforms.
На текущий момент реализовано.
- Website node
- Google search node
- Google cache search node
- Google dorks
- DNS node
- URL node
- IP node
- CSE (Custom Search Engine) node
- Username node
Всё работает в docker, так что установка проста:
- клонируем репозиторий
git clone --recurse-submodules https://github.com/jerlendds/osintbuddy.git- копируем .env и запускаем
cd osintbuddy
cp .env.example .envПосле запуска на http://localhost:3000 нас будет ждать Web-UI.
docker compose up
Vector - это инструмент для доксинга, позволяющий собирать аккаунты в социальных сетях, находить местоположение и контактную информацию, а также проверять на наличие утечек.
Также в комплект поставки входит визуализатор графиков.
Vector ищет по 84 источникам, в том числе и ныне мертвым вроде myspace.
Для установки клонируем репозиторий:
git clone https://github.com/theahmadov/vector(Да, в репе указан python, но он лично у меня с ним не работает)
cd vector
pip3 install -r requirements.txt
python3 vector.py v
Андрей Суховский (Youtube-канал qnnnp">qnnnp) выпустил руководство по Howm на русском языке.
howm это надстройка над emacs для ведения заметкок от японского программиста и преподавателя Казуюки Хираока. Штука довольно красноглазая, но интересная. Особенно, если вы и так используете emacs.
Цикл видео по emacs и howm:
0057. Пакет Howm для Emacs
0058. Emacs. Howm. Начало
0059. Emacs. Howm. Работа со ссылками
0060. Emacs. Howm. Списки. Ч.1
0061. Emacs. Howm. Списки. Ч.2
0066. Emacs, howm, самоучитель
Пара статей по howm от Андрея:
Medium: Создание базы знаний в Emacs
Medium: Howm: установка и настройка
Howm:
Сайт разработчика
Github: howm
emacswiki: HowmMode
P.S. Даже если вы не пользуетесь emacs, но ведете заметки, канал советую посмотреть.
TL;DR: Прикручиваем nuclei к Defect Dojo.
Сканерами уязвимостей пользуются многие, и в обороне и в атаке. Кто-то использует дорогой SaaS, кто-то использует opensource-решения вроде OpenVAS или даже SaaS на его основе.
Казалось бы, можно использовать готовые решения, но мы пойдём другим путём и будем заводить репорты Nuclei в Defect Dojo. Как раз, поддержка репортов есть, нужно только ей воспользоваться.
https://www.0x29a.in/posts/skreshivaem-esha-s-uzhom/
