Napisał: Patryk Krawaczyński
17/11/2024 w Techblog
C
loudflare udostępnił publicznie usługę Radar, w której są zawarte dane o rankingu domen: Domian Rankings Worldwide. Tutaj należy mieć świadomość, że dane pochodzą z ich publicznego serwera DNS, z którego nie koniecznie musi korzystać cały internet. Niemniej jednak jest to dobra próbka, aby przeprowadzić eksperyment podobny do analiz nagłówka HTTP. W pliku pobranym 28.09.2024 znalazło się 1.008.856 domen. Finalnie udało połączyć się z 750.892 domenami w celu pobrania informacji o ich certyfikacie TLS. Aby szybko pozyskać te dane został zmodyfikowany kod skryptu httpsrvreaper na bazie którego powstał sslsrvreaper. Jest on na tyle prosty, że czyta z pliku tekstowego domains.txt adresy, z jakimi ma się połączyć i zapisać ich metadane TLS w formacie JSON, na przykład:
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
18/07/2024 w Bezpieczeństwo, Pen Test, Techblog
O
statnio miałem okazję wziąć udział w szkoleniu, które przygotował Leszek Miś pt. “Linux Attack, Detection and Live Forensics + 90 Days PurpleLabs Access” (całość jest w języku angielskim) – jest to jedno z niewielu dostępnych szkoleń, które jest w 100% skupione na systemie operacyjnym Linux. Po otrzymaniu dostępu do platformy szkoleniowej oraz laboratorium czekało na mnie 225 tematów do opracowania – kilka z nich można oczywiście odjąć z technicznego punktu widzenia, ponieważ są to tematy wprowadzające / wyjaśniające zasady pracy z kursem i maszynami do testów. Niemniej dobór materiału jest naprawdę spory i stanowi solidny fundament do nauki technik atakowania i obrony systemu Linux. Przy pierwszej styczności z mapą zagadnień od razu przypomniała mi się pierwsza, kupiona książka w tym temacie, czyli “Linux. Agresja i Ochrona” wydawnictwa Robomatic (ISBN: 838715041X) – tylko tym razem materiał można od razu przećwiczyć na gotowych scenariuszach i nie użyjemy już do tego SATANa.
Ponieważ dostęp do materiałów jest nieograniczony, ale dostęp do infrastruktury labów trwa aż 90 dni – podzieliłem sobie cały material od 3 do 5 zagadnień dziennie, aby mieć wolne niektóre weekendy oraz zapas czasu w przypadku braku możliwości wieczornej nauki w tygodniu. Pierwsze dni zostały poświęcone na sprawdzenie wszystkich dostępów oraz przygotowanego ekosystemu. Na początku “skakanie” po infrastrukturze może wydawać się trochę uciążliwe, ale posiadając do dyspozycji agregator adresów i dostępów z czasem nabiera się wprawy. Kolejne kroki to już intensywne wgryzanie się w przedstawione scenariusze, opisy i narzędzia, z których można wynieść wiele wartościowych wniosków. To, co najbardziej spodobało mi się w szkoleniu to różnorodne podejście do całości. Podczas nauki poszczególnych rozdziałów otrzymujemy możliwość zapoznania się z technikami, taktykami i strukturami narzędzi ofensywnych używanych w atakowaniu Linuksa; polecenia i ekosystem pozwalający na przeprowadzanie polowań na poznane zagrożenia oraz zestaw stabilnych, darmowych rozwiązań, które możemy od razu przetestować jako warstwy do ochrony i wykrywania ataków na systemie Linux i jego komponentach. Wszystko to robimy na różnych poziomach (przestrzeni użytkownika / jądra) oraz warstwach (aplikacyjnych / sieciowych) systemu.
Listę poruszanych tematów możemy znaleźć na oficjalnej stronie szkolenia (prowadzony jest nawet jego changelog). Wiele z nich jest poruszone w sposób wyczerpujący, a niektóre dają bardzo mocne podstawy do dalszej eksploracji tematu czy zagadnień przewijających się w nich przy okazji. Jeśli znajdziemy jakieś błędy lub dezaktualizację to możemy je zgłaszać na adres e-mail lub jako komentarz pod konkretnym zadaniem. Mi przy okazji paru znajdek udało się zamienić kilka zdań z autorem, a ponieważ wpis ten nie jest w żaden sposób sponsorowany – Leszek był tak miły, że dla 20‘stu zainteresowanych czytelników NF.sec przygotował kod dający 20% zniżki, który można wykorzystać do 15.08.2024 r. Jeśli zakres materiału Was przekonuje to ze swojej strony mogę polecić tę pozycję na ścieżce doskonalenia swojego warsztatu z bezpieczeństwa systemu Linux.
Napisał: Patryk Krawaczyński
05/09/2022 w Techblog
S
erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego oprogramowania do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. Jeśli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
23/04/2022 w Techblog
D
ane rejestracyjne nazw domenowych, powszechnie nazywane WHOIS są od dziesięcioleci przedmiotem różnych dyskusji w ICANN. Grupy robocze w ICANN pracowały nad skomponowaniem zasad, według których dane powinny być wymagane od rejestrujących nazwy domen, czy dane rejestracji nazw domen powinny być prywatne i jak powinny być dostępne. Niezależnie od rozstrzygnięcia wielu rozmów, szersza społeczność ICANN od dawna zgadza się w jednej kwestii: dane rejestracyjne nazw domenowych powinny być przynajmniej sformatowane w spójny sposób. Rozmowy na ten temat rozpoczęły się już w 2002 roku, ale dopiero od 26 sierpnia 2019 roku rejestry nazw domen i rejestratorzy są zobowiązani do korzystania z RDAP (ang. Registration Data Access Protocol, RDAP) jako protokołu wyjściowego danych rejestracyjnych.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
05/03/2021 w Techblog
F
irma Apple ogłosiła wprowadzenie formatu AUL (ang. Apple Unified Log) na swojej konferencji dla developerów w 2016 roku – WWDC. Przed AUL system macOS opierał się na tradycyjnych formatach rejestrowania systemu Unix, takich jak syslog lub własnym – Apple System Log (ASL). Jednak Apple doszło do wniosku, że potrzebuje jednego, znormalizowanego formatu rejestrowania na platformach macOS, iOS, tvOS i watchOS. Zmiana została wprowadzona od wersji macOS 10.12 Sierra. Format cały czas poddawany jest ewolucji np. liczba zdefiniowanych logowanych pól od czasu wydania Sierry do Cataliny (10.15) wzrosła z 16 do 27. W formacie AUL firma Apple poprawiła kompresję logowanych danych, przechodząc do formatu binarnego, co pozwala na zmaksymalizowanie gromadzenia dużej ilości informacji przy jednoczesnym zminimalizowaniu efektu obserwatora.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
28/12/2020 w Techblog
J
eśli interesuje nas sprawdzenie daty utworzenia danego adresu e-mail (nie mylić z datą stworzenia konta) w protonmail – wystarczy skorzystać z API:
curl -q 'https://api.protonmail.ch/pks/lookup?op=index&search=admin@protonmail.com'
Odpowiedź typu:
info:1:1
pub:747752ef11868e4bfb4c0c3e9f832cbb57f25faa:1:2048:1461078056::
uid:admin@protonmail.com <admin@protonmail.com>:1461078056::
– oznacza, że dany adres e-mail istnieje, a 1461078056 znacznik czasu w formacie daty epoch. Wystarczy teraz wydać polecenie, które zamieni nam je na czas przyjazny człowiekowi: date -r 1461078056 (*BSD) / date -d @1461078056 (Linux) – Tue Apr 19 17:00:56 CEST 2016 / wtorek, 19 kwietnia 2016 17:00:56 GMT+02:00.
Odpowiedź typu:
info:1:0
– oznacza, że dany adres e-mail nie istnieje.
Jeśli zamienimy teraz operację “index”, na “get” będziemy w stanie pobrać publiczny klucz PGP konta e-mail:
curl -q 'https://api.protonmail.ch/pks/lookup?op=get&search=admin@protonmail.com' \
-o key.pgp
root@darkstar:~# gpg --list-packets key.pgp
# off=0 ctb=c6 tag=6 hlen=3 plen=269 new-ctb
:public key packet:
version 4, algo 1, created 1461078056, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 9F832CBB57F25FAA
# off=272 ctb=cd tag=13 hlen=2 plen=43 new-ctb
:user ID packet: "admin@protonmail.com "
Lista serwerów ProtonVPN.Więcej informacji: ProtOSINT
Napisał: Patryk Krawaczyński
02/07/2020 w Techblog
W wersji RouterOS 6.47 zostało dodane wsparcie DNS over HTTPS (RFC8484), czyli wykonywanie zapytań DNS przez protokół HTTPS. Jeśli używamy wybranego modelu w naszej sieci domowej (przykład był testowany na RB951Ui-2HnD) warto rozważyć podniesienie RouterBOARD do wydania wypuszczonego 2 czerwca 2020 r. Pierwszym krokiem jest ściągnięcie i import bazy urzędów (CA):
/tool fetch url=https://curl.haxx.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
Następnie dodajemy statyczne wpisy DNS, które umożliwią komunikację z serwerem DoH:
/ip dns static add name="cloudflare-dns.com" type=A address="104.16.248.249"
/ip dns static add name="cloudflare-dns.com" type=A address="104.16.249.249"
Czyścimy aktualnie używane serwery DNS:
/ip dns set servers=""
Ustawiamy serwer DoH:
/ip dns set use-doh-server="https://cloudflare-dns.com/dns-query"
/ip dns set verify-doh-cert=yes
Czyścimy dotychczasową pamięć cache:
/ip dns cache flush
Teraz możemy wejść na stronę: 1.1.1.1/help i sprawdzić, czy komunikat Using DNS over HTTPS (DoH) posiada wartość Yes. Analogicznie możemy ustawić inne serwery DoH np. https://dns.google/dns-query, https://dns.quad9.net/dns-query, https://mozilla.cloudflare-dns.com/dns-query.
Napisał: Patryk Krawaczyński
21/06/2020 w Techblog
S
erwis instagram jakiś czas temu wprowadził wymóg logowania po przeglądnięciu kilku zdjęć. Znajomy poprosił mnie o zbadanie, czy istnieją istnieją alternatywne metody, aby ominąć tą restrykcję. Najszybszym i najprostszym sposobem jest wykorzystanie serwisu ImgInn, który wykorzystuje API serwisu instagram. Wystarczy adres w postaci: https://instagram/mike.wazowski zamienić na: https://imginn.com/mike.wazowski, co daje nam pełen dostęp do obrazów z danego profilu z możliwością ich ściągnięcia. Serwis ten umożliwia również usuwanie danych wybranych kont – dlatego jeśli nie możemy wykonać podglądu z tej pozycji pozostaje nam dodanie własnego filtru do dodatku uBlock Origin:
instagram.com##._Yhr4.RnEpo
instagram.com##body:style(overflow:visible !important;)
lub ręcznie za pomocą “Narzędzi programistycznych” (F12 w przeglądarce) zmieniamy kod HTML z:
<body class style="overflow: hidden;">
na:
<body class style="overflow: visible;">
oraz wyszukujemy element HTML div z frazą "_Yhr4" w nazwie klasy i go cały usuwamy. Od tej chwili możemy swobodnie przewijać stronę, ale niestety nie możemy powiększać obrazów poprzez klikanie na nie. Dla rozwiązania tego problemu użyjemy stałego skrótu URL. Wystarczy skopiować adres dowolnego obrazka np.:
https://www.instagram.com/p/wWwNfseCwPl/
i dodać do niego frazę: /media/?size=l, czyli:
https://www.instagram.com/p/wWwNfseCwPl/media/?size=l
Więcej informacji: Wątek na Twitterze
Napisał: Patryk Krawaczyński
17/06/2016 w Techblog
Z
acznijmy od początku. Społecznościówki (Google+, Facebook, LinkedIn), e-banki, e-płatności, e-commerce, hotele itp. – wszystkie wymagają podania adresu e-mail. Do prawie wszystkich można zalogować się w klasycznym układzie typu: e-mail / hasło. Nie trzeba już wymyślać sobie kozackiego, jedynego nicku, ponieważ serwisy zaczynają traktować adresy e-mail jako unikatowe identyfikatory użytkowników z którymi w ten sposób mogą prowadzić “bezpieczną” komunikację. Wszechobecne dzielenie się adresem e-mail z technicznego punktu widzenia nie jest złe, ale na dłuższą metę powoduje kilka irytujących problemów – spam, poznanie Twojego loginu do poczty przy wycieku danych itd. Niektóre z nich można rozwiązać lub uczynić znacznie prostszymi za pomocą aliasów pocztowych.
[ czytaj całość… ]
Ostatni komentarz :