Windows 10. Wolny Transfer w otoczeniu sieciowym. SMB

Ściąga Admina, Usługi Komentarze (0) »
windows 10 otoczenie sieciowe smb słaby transfer wolno

windows 10 otoczenie sieciowe smb słaby transfer wolno

Skuteczne rozwiązanie:

PowerShell

 

Set-SmbClientConfiguration -EnableBandwidthThrottling 0 -EnableLargeMtu 1
Set-SmbServerConfiguration -EnableLeasing $false
NET STOP SERVER
NET START SERVER

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

GDrive – Bez limitu

Ściąga Admina Możliwość komentowania GDrive – Bez limitu została wyłączona

http://td.fastio.me/

Pomijając kwestie bezpieczeństwa danych, fajna sprawa do dzielenia się dużymi plikami.

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

Backup Kopia – Poczta gmail

Ściąga Admina Możliwość komentowania Backup Kopia – Poczta gmail została wyłączona

http://gmvault.org/download.html

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

let’s certbot | Let’s Encrypt | postfix | dovecot

Ściąga Admina, Usługi Komentarze (0) »

Korzystanie z Let’s Encrypt na potrzeby WWW są automatyczne i proste.

 

Jeśli dla https mamy już certyfikaty jak wykorzystać ich moc dla serwera pocztowego?

Otóż jak zwykle u mnie prosto i szybko:

postfix:

smtpd_tls_cert_file = /etc/letsencrypt/live/domena/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domena/privkey.pem
dovecot:

ssl_cert = </etc/letsencrypt/live/szpital.zabrze.pl/fullchain.pem
ssl_key = </etc/letsencrypt/live/szpital.zabrze.pl/privkey.pem

 

Koniec.

Proste i działa 😉

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

E-mail i ZIP z potencjalnie groźną zawartością ( clamav, postfix, amavis )

Ściąga Admina, Usługi Komentarze (0) »

Niebezpieczeństwo przychodzące do firm i instytucji poprzez pocztę elektroniczną jest ogromne.

Klikanie na linki, otwieranie plików zip z niby faktura czy CV to ogromne zagrożenie.

Poniżej opiszę jak przy pomocy clamav wycinać wiadomości, z załącznikami zip zawierającymi skompresowane, potencjalnie niebezpieczne zawartości.

Funkcjonalność tą starałem się rozwiązać poprzez postfix, amavis itp. jednakże bezskutecznie. Dopiero sugestia na grupie https://www.facebook.com/groups/sysopspolska/ dała światełko w tunelu.

Przechodząc do rzeczy, tworzy plik w katalogu lib clama /var/lib/clamav o zawartości:

Archived_EXE:*:*:.*\.exe:*:*:*:*:*:*

Archived_SCR:*:*:.*\.scr:*:*:*:*:*:*

Archived_PIF:*:*:.*\.pif:*:*:*:*:*:*

Archived_COM:*:*:.*\.com:*:*:*:*:*:*

Archived_VB:*:*:.*\.vb:*:*:*:*:*:*

Archived_VBS:*:*:.*\.vbs:*:*:*:*:*:*

Archived_VBE:*:*:.*\.vbe:*:*:*:*:*:*

Archived_JS:*:*:.*\.js:*:*:*:*:*:*

Archived_JSE:*:*:.*\.jse:*:*:*:*:*:*

Archived_WS:*:*:.*\.ws:*:*:*:*:*:*

Archived_WSF:*:*:.*\.wsf:*:*:*:*:*:*

Archived_WSC:*:*:.*\.wsc:*:*:*:*:*:*

Archived_WSH:*:*:.*\.wsh:*:*:*:*:*:*

Zapisujemy jako skasowac.cdb i restartujemy clama.

To tyle.

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

RouterSploit -Join Threat9 Beta Program – https://www.threat9.com

Ściąga Admina Komentarze (0) »

Bardzo dobre narzędzie. Oczywiście kolejne narzędzie pod linux!

Instalacja pod adresem: https://github.com/threat9/routersploit

Po uruchomieniu:

[email protected]:/home/amon/routersploit# ./rsf.py
______ _ _____ _ _ _
| ___ \ | | / ___| | | (_) |
| |_/ /___ _ _| |_ ___ _ __\ `–. _ __ | | ___ _| |_
| // _ \| | | | __/ _ \ ‚__|`–. \ ‚_ \| |/ _ \| | __|
| |\ \ (_) | |_| | || __/ | /\__/ / |_) | | (_) | | |_
\_| \_\___/ \__,_|\__\___|_| \____/| .__/|_|\___/|_|\__|
| |
Exploitation Framework for |_| by Threat9
Embedded Devices

Codename : I Knew You Were Trouble
Version : 3.4.1
Homepage : https://www.threat9.com – @threatnine
Join Slack : https://www.threat9.com/slack

Join Threat9 Beta Program – https://www.threat9.com

Exploits: 131 Scanners: 4 Creds: 171 Generic: 4 Payloads: 32 Encoders: 6

 

No to testujemy:

rsf > use scanners/autopwn

rsf (AutoPwn) > set target 192.168.50.1
[+] target => 192.168.50.1
rsf (AutoPwn) > run
[*] Running module scanners/autopwn…

 

efekt:

 

Zobaczysz sam … dane logowania na niezaktualizowane routery ;(

Ip podane w przykładzie to moja maszyna domowa otrzymana od operatora…. skan pokazał dane logowania 😀

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

BlueKeep – CVE-2019-0708 – Windows Server

PentaTesty, Usługi Komentarze (0) »

Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.

Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.

A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.

Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.

 

Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:

nmap 192.168.1.0/24 -p 3389 –open

 

Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.

 

msf5 > search BlueKeep

Matching Modules
================

# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check


msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options

Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep):

Name Current Setting Required Description
---- --------------- -------- -----------
RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect
RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random
RDP_DOMAIN no The client domain name to report during connect
RDP_USER no The username to report during connect, UNSET = random
RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes The target port (TCP)
THREADS 1 yes The number of concurrent threads


Auxiliary action:

Name Description
---- -----------
Scan Scan for exploitable targets


msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82
rhosts => 192.168.1.82
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[*] 192.168.1.82:3389 - The target service is running, but could not be validated.
[*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248
rhosts => 192.168.1.248
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[+] 192.168.1.248:3389 - The target is vulnerable.
[*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >
Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

Drukarki – „jakie to ma znaczenie w bezpieczeństwie sieci”

PentaTesty Komentarze (0) »

Tytuł taki zadziorny 😉

W każdej sieci korporacyjnej mamy sporo drukarek sieciowych, czasem nawet nie wiemy ile i gdzie.

Podpinamy, dołączamy stanowiska komputerowe i zapominamy.

Bardzo często robi to za nas firma zewnętrzna,  obsługująca nam systemy wydruku.

Zaraz przedstawię atak na drukarkę i wyjaśnię dlaczego jest to krytycznie niebezpieczna część sieci.

Na początek na konsoli Linux ( polecam mieć virtualkę z Kali Linux ) zainstalujemy jedno z wielu narzędzi służące do  testów bezpieczeństwa drukarek.

pip install colorama pysnmp 
pip install win_unicode_console 
apt-get install imagemagick ghostscript 
git clone https://github.com/RUB-NDS/PRET 
cd PRET 
./pret.py 192.168.1.136 pcl

ten adres IP to rzeczywiste urządzenie w jednym ze szpitali, które obsługuje. Urządzenie firmy obsługującej systemy wydruku w szpitalu.

Co widzimy? Otrzymujemy powłokę która umożliwia penetrację urządzenia! Żadnych haseł, modeli , szukania itp. starczy adres IP! Co może teraz wykonać osoba, która w ten sposób zaatakowała urządzenie? Wiele, ale zauważcie polecenie PUT, które umożliwia załadowanie statycznej binarki. Taka binarka to może być skaner sieci, malware, sniffer czy exploit na inne urządzenia w sieci.

Często sieć szpitala jest bardzo mądrze posegmentowana, ale drukarki maja dostęp do każdego segmentu, bo tak prościej … w ten sposób atakujący opuszcza vlan do którego się dostał.

Jak się zabezpieczać:

  • aktualizacje oprogramowania ( problemem może być drukarka wynajęta, ale o tym potem )
  • segmentacja sieci ( da się to ogarnąć, proponuję dyskusję w komentarzach )
  • odcięcie drukarki od internetu – całkowite!
  • użycie adresu publicznego – wersja dla psychopatów 😉

 

Jak zmusić firmę zewnętrzną aby dbała o aktualizację oprogramowania? Wyjaśnić że mając taki dostęp do urządzenia, ktoś złośliwy w niecnych celach może zmienić stan licznika 😉 Jesteśmy pełni obaw ….

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

WordPress – obowiązkowe zabezpieczenia

Ściąga Admina Komentarze (0) »

Drobna modyfikacja poprzednich regułek. Oczywiście zmiany podyktowane przykrymi doświadczeniami 😉

 

<IfModule rewrite_module>
RewriteEngine on
RewriteCond %{REQUEST_URI} -d
RewriteRule .* /index.php?dir=$0
</IfModule>

# Block any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root home page
RewriteRule .* index.php [F]

 

<FilesMatch „wp-config.*\.php|\.htaccess|readme\.html”>
Order allow,deny
Deny from all
</FilesMatch>

<Files wp-login.php>
AuthType Basic
AuthGroupFile /dev/null
AuthName „stop”
AuthUserFile /password (tutaj haslo dostepu do panelu logowania)
require valid-user
</Files>

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

<Files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>

<Files wp-content/uploads/^(*.jpeg|*.jpg|*.png|*.gif|*.pdf)>
order deny,allow
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<Files wp-content/uploads/*.php>
deny from all
</Files>

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

RouterScan – Skaner urządzeń w sieci

PentaTesty Komentarze (0) »

Skaner urządzeń w sieci. Znajduje urządzenia w zdefiniowanej sieci, po wykryciu maszyny uruchamia swoja bazę exploitów w celu podania danych logowania, danych sieci itp. narzędzie całkiem sprawne.

Niemniej jednak jak już wykryje Wam urządzenia, a wykryje Warto przeprowadzić test przy pomocy routersploit. Zwykle jeszcze więcej możliwości penetracji urządzenia otrzymacie. Jak pracować z routersploit opisze potem.

Domyślne porty są ok, ale warto dodać 81,8080,8081 i wedle uznania tak podpowiem że warto dodać port vpn. Można się zdziwić.

aha … skąd pobrać? Wersja na windows, która ładnie działa też na wine http://stascorp.com/load/1-1-0-56

Zachęcam do sprawdzenia SWOJEJ sieci!

Pamiętajcie aby tego typu narzędzie uruchamiać na maszynach wirtualnych z wyciętym dostępem do internetu! TCP i UDP to podstawa, warto też pamiętać aby wyciąć wychodzące ICMP a DNS tylko z ruchem do swoich hostów. Tunelowanie …. wycinajcie.

 

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks
WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj się