769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
Иногда хочется отвлечься от букв в терминале и посмотреть на красоты планеты. Но так как путешествия штука не всем доступная, будем тренировать GEOINT.
whereami.io
Угадываем без регистрации и смс. Сложность рандомная, так что заставляет поднапрячься.
Сервис хоть и не подразумевает геймификацию, по сути самый самый интересный и реалистичный.
geodetective.io
Простой и приятный сервис, на выбор множество сложностей.
Из ограничений: без подписки пять заданий в неделю, подписка 5,00 USD в неделю.
Даже с такими ограничениями стоит своего времени.
geoguessr.com
Популярный и известный сервис. Тут и singleplayer, и с рандомными игроками посоревноваться можно, и квиз есть.
Но без подписки нормально можно пройти только обучение. Угадывай пять минут или плати 3.49 евро в месяц.
А ещё прокачка, и куча прочих модных и отвлекающих штук.
P.S. Разумеется, можно ещё искать локации фотографий рандомных людей из Instagram, тоже может быть весело, ещё и метаданные могут быть.
Но это уже сталкерство и я вам такое не говорил.
Вы делаете заметки во время прохождения CTF?
Я делаю, но большая их часть больше напоминает копипаст кода\команд с комментариями.
Но куски копипаста превращаются в заметки, заметки могут стать целым walkthrough. Или что-то более полезное.
Зачем вообще стоит делать заметки?
1. Полезно для самого себя. При необходимости, можно посмотреть, как ты решал похожую задачу, какие инструменты использовал и так далее.
2. Можно отслеживать свой прогресс. Будет заметно разницу между "А как указать порты в nmap?" и "Тут есть сервис с CVE-2077-00666, cейчас PoC напишу".
3. Наращивать свою базу знаний. Знание может дополнить знание.
4. Писать репорты тоже полезный навык. Не лишнее, даже если ты не пентестер.
5. Вклад в комьюнити. Небольшой, но всё же. Есть немало людей, которые учатся с чтением всяких walkthrough.
6. Резюме/портфолио. Потенциальный работодатель может наглядно посмотреть, насколько ты хорош.
Как делать?
1. Что-то ресёрчишь - записываешь. Что-то решаешь - записываешь.
2. Markdown. Простой текст с разметкой. Можно сразу вести все заметки в Obsidian. Для начала можно видео от Диджитализируй посмотреть.
И в целом, всегда в процессе лучше делать заметки, не важно, касается это работы или прохождения очередного CTF.
Никогда не знаешь, когда эти записи могут тебе пригодиться.
Вчера начал писать заметку по интеграции OpenCTI в Wazuh, но она немного не влезла в формат TG-поста.
Сдул пыль с блога, перешёл с Jekyll на Hugo и опубликовал там.
Wazuh + OpenCTI = Integration?
P.S. Это больше лабораторный вариант, чем продовый, так как некоторые решения могут вызывать вопросы. Но в целом, решение рабочее.
Небольшая заметка о Yara к посту про Autopsy (и не только).
Yara используется и как отдельный инструмент, и как интеграция (например Wazuh).
От самой Yara без правил толку нет, можно их писать и самому, но такое подходит не всем.
Есть репозиторий с большим набором правил, но он давно не обновлялся.
Набор правил от Nextron Systems уже интересней, но самое интересное доступно в Private Feed. В Community Feed правил сильно меньше, но для работы подойдёт.
awesome-yara - awesome-репа с подборкой правил и инструментов для Yara. Нынче обновляется не очень активно.
Немного инструментов:
yarGen - генератор правил для Yara.
Loki - сканер IOC.
Есть ещё Fenrir, но он скорее мёртв, чем жив.
How to по написанию правил:
How to Write Simple but Sound Yara Rules
How to Write Simple but Sound Yara Rules – Part 2
How to Write Simple but Sound Yara Rules – Part 3
В целом, написание правил для Yara довольно увлекательное занятие, но очень на любителя. А готовые правила либо покрылись пылью, либо стоят денег.
Такие дела.
Тут нашёлся интересный (и даже бесплатный) курс по пенетрированиию API от APISEC University. Ещё и от автора книги Hacking APIs: Breaking Web Application Programming Interfaces.
Разведка, протыкивание эндпоинтов и прочие auth-атаки в наличии.
Warning: не хочет пускать пользователей из РФ. И может захотеть work email.
Можно ещё вдогонку написать по Gitleaks.
Но Gitleaks больше SAST, чем просто сканер секретов.
В силу этой особенности он имеет интеграцию с GitHub Actions, а в Gitlab он и вовсе идёт "из коробки".
trufflehog - серьезный сканер секретов с богатым функционалом.
Детектит большой набор различных секретов, может сканировать репозитории (gitlab, github) напрямую (но не несколько сразу, хотя можно наколхозить скриптом) и может сканировать S3-бакеты. Так же сканирует локальный код, и даже syslog, но последнее проверить не довелось.
Работает как отдельный бинарь, так и из Docker.
Кроме того, он интегрируется в GitHub Actions, не киллер-фича, но тоже неплохо.
Для особо любопытных есть magnet:magnet:?xt=urn:btih:7e0ac90b489baee8a823381792ec67d465488fef&dn=yandexarc&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80%2Fannounce&tr=udp%3A%2F%2F9.rarbg.to%3A2920&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337%2Fannounce&tr=udp%3A%2F%2Fexodus.desync.com%3A6969&tr=udp%3A%2F%2Fbt1.archive.org%3A6969%2Fannounce&tr=udp%3A%2F%2Fbt2.archive.org%3A6969%2Fannounce&tr=udp%3A%2F%2Fopen.demonii.com%3A1337%2Fannounce
С новым годом.
Без долгих речей и поздравлений.
https://m.youtube.com/watch?v=8PzPHKGpNXs
Welcome to Mars.
Тут чувак сделал занятное уязвимое веб-приложение для дрессировки тренировки веб-разрабов (видимо как анти-образец кода) и пентестеров.
Выглядит попроще, чем условный DVWA, но и не такой древний как DVWA.
Развернуть можно как в ручную, так и в докере.
docker run -p 3000:3000 -d belowzero273/promgaz-marsНе Juice Shop, но тоже интересное. Читать полностью…
Про генераторы reverse-shell уже как-то я писал, но прогресс подгоняемый ленью не стоит на месте и хочется чего-то ещё.
shells генерирует реверс-шеллы без регистрации и смс необходимости лезть в браузер.
Генерирует всё, как мы любим: Bash, Python, PowerShell и awk.
Набор ОС стандартен: Linux, Windows, macOS.
Просто и со вкусом.
Про недавнее отключение Meraki в РФ, которое толи было, толи не было, ничего не понятно, но очень интересно.
Вообще, вендоры с февраля начали отключать учётки ЛК, облачные лицензии, телеметрию и прочие сервисы. Все нормальные админы в энтерпрайзах, в свою очередь, поотключали доступ к своим железкам извне, и доступ самих железок к серверам вендора за обновлениями и прочими радостями. Ибо нефиг. Если же что-то до сих пор работает через облако из "недружественной страны" - то это, скорее, чья-то недоработка, а не ваша заслуга.
Ещё буквально год назад, когда уже отшумел кейс Parler (кто-нибудь вообще помнит, что это?), представитель AWS меня уверял, что те, мол, сами виноваты, никакой политики, а только неоднократное нарушение ToS и долгие уговоры "так больше не делать". Что размещаться в облаке совершенно безопасно, потому что облачный сервис отвечает своей репутацией и т.д. и т.п.
Примерно тогда же, за пивом сотрудники одного вендора сетевого железа сокрушались, что в РФ плохо продаются облачные сервисы типа SD-WAN/SD-LAN - мол, отечественный потребитель консервативен и не хочет приобщаться к мировым трендам, но это же так круто: ррраз - и у тебя ИИ всё настроил, вай-фай бегает, QoS там всякий, политики безопасности и проч. Удобно же! И опять же, "да ничего такого не случится, на западе все нормальные пацаны уже давно пользуются, крупный бизнес отвечает своей репутацией".
Пессимисты напоминают, что "There are no clouds, just someone else's computers". А все данные, которые лежат не на твоих серверах - это не твои данные, это тебе ими пользоваться дают за деньги.
И до недавнего времени, всё работало - параноики параноили, сидели на baremetal или строили свои приватные облака. Энтузиасты изучали Managed K8s и serverless. Мир победившего чистогана, и всё такое.
В этом году всё поменялось, и как бы нас не уверяли, что "это только с Россией так, потому что она плохая" и "ну мы всего лишь соблюдаем санкции", поменялось всё в глобальном масштабе. Slack блокирует аккаунты "потому что в вашем спейсе есть пользователи из РФ", Atlassian прекращает работать с российскими компаниями даже через посредников (т.е. это не вопрос движения денег), а Cisco отключает продукт, который даже не был официально запущен в РФ, и сбрасывает устройства "в дефолт" - а дальше уже как повезёт, возможно и кто-нибудь из TAC захочет поглумиться напоследок. Т.е. вся эта наша глобальная айтишечка, мир ТНК без границ и т.д. столкнулась с сермяжной правдой - границы вполне себе существуют, законы соблюдаются там, гле платятся налоги, а тебя могут забанить даже just because fuck you (см. Parler).
Мантры про "ну для Cisco РФ - это меньше 5% рыкна" сродни мантрам про "всего 2% мировой экономики". Что случается при попытке "отключения" двух процентов мировой экономики - можно почитать в новостях. Думаю, с IT будет примерно тоже самое - торговые войны, регионализация провайдеров и тотальное недоверие всех ко всем. И "цифровой суверенитет", который раньше воспринимался исключительно как блажь и "да нафига вам это, надо просто участвовать в мировой кооперации" внезапно играет новыми красками...
Немного про Flipper Zero.
Если коротко, то "Вау" не произошло, хоть устройство и интересное.
Если вам повезло его приобрести (говорят, в амперке ещё появится), то в первую очередь его стоит обновить. А лучше даже прошить кастом, так как родная прошивка скорей для регуляторов, чем для конечных пользователей.
Для обновления есть удобный qFlipper и возможность обновить через мобильное приложение (фича в бете), или даже через web (работает только в Google Chrome).
В плане кастомых прошивок есть из чего выбрать:
- Unleashed Форк оригинальной прошивки с разблокированными частотами, плагинами от коммьюнити и прочим. Для начинающих самое оно, так как нужный функционал на месте и установка проблем не вызывает (хоть через qFlipper, хоть через web)
- RogueMaster Форк Unleashed с дополнительными твиками и фичами из dev-ветки официальной прошивки. Функционал должен оказаться больше, однако стабильная работа не гарантируется.
Есть и другие, но они либо не поддерживаются, либо имеют скудный набор изменений.
Всякая полезная нагрузка.
Чтобы уйти чуть дальше копирования своего ключа от домофона или управлением своим телевизором, нам пригодится куча дампов\полезной нагрузки, которая собрана в разных местах, например в репе UberGuidoZ Playground или архивом тут.
В целом, для хорошего старта этого набора должно хватить. Но имеет смысл собирать из кучи разрозненных дампов и прочего собирать свой репозиторий, так как кажется, что много всего, но много повторов, да и вообще всё в кучу.
Пойду свой репо собирать, что ли.
Доп. ссылки:
Репозиторий Awesome Flipper Zero
Документация
Flipper Zero Hacking 101
CTF не только полезен, но и вреден.
Как ни странно, но да.
Стоит даже несколько переиначить эту фразу: не все CTF одинаково полезны.
Условно CTF можно разделить на две категории:
- Образовательные.
- Развлекательные.
С образовательными всё довольно понятно. Они знакомят нас с инструментами, уязвимостями, их эксплуатацией и прочее.
А с развлекательными всё несколько сложней, так как это зачастую хакерские головоломки, а не просто "лаба чтобы научиться" (хоть и не без этого).
С ними очевидных проблем нет, их тоже стоит решать. Проблема состоит в том, что мы можем выработать неверный подход к техникам и инструментам, который потом будем экстраполировать на рутинные задачи.
Например:
fexoxbuster с флагом --force-recursion очень не всегда применим в работе, особенно без дополнительной настройки. Да и сам по себе он очень шумный.
nmap тоже в обычной работе создаёт слишком много шума, особенно с флагом -T 5.
nuclei с стандартным rate-limit вообще может поставить на уши и security-комманду (если она есть), и админов с девопсами.
Про mimikatz можно даже не говорить. Он уже давно детектится Windows Defender
Я не говорю, что CTF не решать не надо, и "снова обмазались своими CTF, лучше бы ресёрчили". CTF штука полезная.
Я скорей про то, что стоит быть разборчивей в разных лабах (увы, к моему любимому TryHackMe это очень даже относится), иначе в итоге ничего не решишь, ничему не научишься и плохо проведёшь время (с).
В общем, как пел классик:
Следи за собой, будь осторожен. Следи за собой.
Obsidian для OSINT?
Почему бы и нет?
В целом, Obsidian сравнительно неплохо для этого подходит.
Что может потребоваться от OSINT-инструмента?
- Запись по какой-то единице информации? Есть.
- Обогащение записей различным медиа (фото, аудио, видео)? Есть.
- Построение связей между записями? Тоже есть.
- Построение графа? В наличии.
Можно добавить ещё плагины для mind map, data view, что-то ещё по вкусу и можно работать.
Оказалось, что я не один такой умный.
У Web Breacher есть уже готовый Vault и видео, как с этим великолепием работать.
А если вы уже используете Obsidian как OSINT-инструмент, то можно подглядеть шаблоны там же, или в репе TJ-OSINT-Notebook.
Это для Joplin, но там тоже markdown.
Немного прекрасного этим вечером.
Чувак собрал плату для NTP-сервера на базе GPS-модуля NEO-m8n.
Да, на невероятную самобытность проект не претендует (о чём говорит сам автор), но исполнение мне нравится.
По сути проект прост:
- берется NEO-m8n
- делается плата умеющая в RS232
- печатается заглушка-основа для платы
Просто и со вкусом. Все исходники доступны.
Чтобы компенсировать несправедливость, добавлю книгу.
Читать полностью…
Потребовался мне тут Autopsy, а оказалось, что его установка не в Windows всё ещё является небольшим приключением.
Есть установочные скрипты, но они написаны под Ubuntu и в других дистрибутивах могут быть сложности.
Делаем проще, утащив часть полезного прямо из этих скриптов:
1. Скачиваем Autopsy
2. Скачиваем sleuthkit
3. Распаковываем Autopsy
unzip autopsy-4.20.0.zip4. Устанавливаем пакет sleuthkit
sudo dpkg -i sleuthkit-java_4.12.0-1_amd64.deb
5.Ставим зависимости:sudo apt update && \
sudo apt -y install build-essential autoconf libtool automake git zip wget ant \
libde265-dev libheif-dev \
libpq-dev \
testdisk libafflib-dev libewf-dev libvhdi-dev libvmdk-dev \
libgstreamer1.0-0 gstreamer1.0-plugins-base gstreamer1.0-plugins-good gstreamer1.0-plugins-bad \
gstreamer1.0-plugins-ugly gstreamer1.0-libav gstreamer1.0-tools gstreamer1.0-x \
gstreamer1.0-alsa gstreamer1.0-gl gstreamer1.0-gtk3 gstreamer1.0-qt5 gstreamer1.0-pulseaudio
6. Ставим необходимую версию Java:wget -q -O - https://download.bell-sw.com/pki/GPG-KEY-bellsoft | sudo apt-key add -
echo "deb [arch=amd64] https://apt.bell-sw.com/ stable main" | sudo tee /etc/apt/sources.list.d/bellsoft.list
sudo apt update
sudo apt -y install bellsoft-java8-full
Может потребоваться указать расположение JDK в autopsy.conf jdkhome="/usr/lib/jvm/bellsoft-java8-full-amd64"
Готово, можем запускать файл autopsy из ./bin../autopsy --nosplash
P.S. Правда под Linux не работает iOS Analyzer и нужные мне YARA Analyzer и Android Analyzer, но это уже другая история.
Читать полностью…
Немного скрашиваем боль от CLI в Windows.
- Вместо чистого ps или cmd используем Windows Terminal
Можно собрать самому, использовать уже собранный или поставить из Microsoft Store.
- Добавим свою цветовую схему. Даже gruvbox есть.
- Ставим Oh My Posh.
Не восторг, но уже сильно лучше.
SecretScanner - инструмент для поиска секретов в коде и в контейнерах.
Заявлен поиск 140 вида секретов, работа из Docker и прочий "lightweight and efficient".
В целом, это будет больше интересно защитникам, так как это не столько отдельный инструмент, сколько часть целой платформы - ThreatMapper.
Улёгся шум от утечки Яндекса, но поиск интересного в утечках никуда не делся.
Сегодня немного пройдемся по поиску секретов в коде.
Само собой, код утекает не только из гита, но из-за мисконфига и сорсмапов (про это как-нибудь позже).
А раз есть секреты, то их надо как-то искать. И желательно не руками.
golddigger - простой инструмент для поиска секретов в коде. В ходе работы всё заботливо складывает в log-файл.
Но есть и минусы: всё построено на регулярках, так что могут быть false positive.
Тут Яндекс ворвался в open source с двух ног немного протёк.
Утекло больше 44.7 ГБ. исходников, представители Яндекс утечку подтвердили, но настаивают на том, что "код старый, ничего страшного не произошло". Хотя, секреты в коде уже активно находят.
К вопросу о дырявых веб-приложениях в общем и контейнерах в частности.
Вопрос больше к представителям защиты и прочих blue team: чем вы тестируете средства runtime security контейнеров?
Пока в голову приходит только использовать уязвимые контейнеры с vulhub.org (тут ещё должна быть шутка про Wazuh и кучу уязвимостей в нём), а в плане уязвимых web-приложений использовать условный Juice Shop. Если первая часть ещё более-менее, то Juice Shop выглядит не лучшим вариантов.
Вариант "Тестируем продом" можно не предлагать.
Но просто генерировать нагрузку не так инетересно, верно? К тому же, сессии надо где-то поддерживать.
Villain - reverse-shell комбайн. Может генерировать нагрузку (можно сразу энкодить и\или обфусцировать), поддерживать множество сессий, и даже работать совместно.
Если первые два пункта сравнительно привычны, совместная работа довольно интересна.
Так как разворачивается сервер, другой Villian может выступить в роли клиента:
connect villianhost 65001На текущий момент генерирует нагрузку только для Windows и Linux.
Рождественский Advent of Cyber 2022 начался.
Как обычно, обещано 24 дня веселья в виде лаб различной сложности. Для тех, у кого лапки есть видео-прохождение.
Призовой фонд вырос до ~$40,100 (даже Flipper Zero появились), однако жителям РФ может ничего и не перепасть (может быть месячная подписка, тоже неплохо).
Однако, немного повеселиться это не мешает.
P.S. Если там есть _JohnHammond">Джон Хаммонд и InsiderPhD">InsiderPHD, то определенно должно быть что-то веселое и возможно даже сложное.
В продолжении "There are no clouds, just someone else's computers" не могу не вспомнить четыре репы, которые уже тут были.
awesome-selfhosted - большой список разного selfhosted, большей частью рассчитан на замену пользовательских сервисов.
awesome-sysadmin - список разного selfhosted для сис. админов/девопсов.
deploy-your-own-saas - ещё одна репа со списком оpensorce софта, который может заменить ряд сервисов.
awesome-security - список security-related инструментов и сервисов.
Поскромней в размерах, но довольно полезный (и есть список со списком).
Что-то из этого уже давно используется бизнесом, что-то и в домашних условиях. И если в плане разворачивания сервисов для бизнеса и\или админам проблем больших нет, то обычным пользователям уже сложней.
Времена ограничений создают условия для взаимодействия и коллаборации. И расширения набора навыков.
Если не сейчас, то когда?
Ещё до санкций были вопросы к сторонникам идеи того, что запихать всю инфру в облако это хорошая идея. Туда же идут и умные дома "в облаке", SD-WAN, стильное-модное-молодёжное управление инфраструктурой через портал вендора и прочие штуки.
Ифра в облаке не твоя инфра.
Инфа в облаке не твоя инфа.
Baremetal не атавизм, а необходимость.
Даже если эти санкции вас не коснулись, то поведение многих вендоров вызывает множество вопросов. ¯\_(ツ)_/¯
Если вы не знаете, чем занять себя в этот вечер, то я нашёл развлечение - https://h4ck1ng.google/
Читать полностью…