Zitate Nr. 459 – Alles was zu Ende ist, kann …
Alles was zu Ende ist, kann auch Anfang sein.
von Puhdys
Alles was zu Ende ist, kann auch Anfang sein.
von Puhdys
Mit der Anleitung kann das Metasploit Framework unter Ubuntu Mate installiert werden.
1. System Updaten
Als erstes das System aktualisieren:
sudo apt-get update sudo apt-get upgrade
2. Notwendige Abhängigkeiten installieren
sudo apt-get install -y curl gpgv2 autoconf bison build-essential postgresql libaprutil1 libgmp3-dev libpcap-dev openssl libpq-dev libsqlite3-dev libssl-dev locate libsvn1 libtool libxml2 libxml2-dev wget libyaml-dev postgresql-contrib xsel zlib1g zlib1g-dev
3. Metasploit installieren
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/ metasploit-framework-wrappers/msfupdate.erb > msfinstall
Ändern der Berechtigungen mit dem Befehl “chmod” und ausführen:
chmod 755 msfinstall
Die Installation starten:
/msfinstall
Ich mag es wenn du lächelst, aber ich liebe es wenn ich der Grund dafür bin.
von unbekannt
Um Daten zwischen dem Betriebssystem und einer virtuellen Maschine (VM) auszutauschen, gibt es die Möglichkeit einer Ordnerfreigabe. In dem Beispiel handelt es sich um Ubuntu MATE in der VM. Die Funktion kann über das Menü “Geräte – Gemeinsame Ordner – Gemeinsame Ordner” eingebunden werden.
Nach der Festlegung, welcher Ordner zum gemeinsamen Datenaustausch zwischen virtueller Maschine und dem Basis Betriebssystem verwendet werden soll, kann es bei dem Zugriff auf den Ordner zu einem Fehler kommen.
Das liegt daran, dass der User in der VM nicht ausreichend Rechte besitzt, um auf den Ordner zuzugreifen.
Um hier Abhilfe zu schaffen, den nachfolgenden Befehl in der Konsole ausführen, um den User entsprechend zu berechtigen:
sudo adduser $USER vboxsf
Danach ist der Zugriff auf den Ordner gegeben (eventuell muss sich einmal neu angemeldet werden).
Ein jeder Wunsch, wenn er erfüllt, kriegt augenblicklich Junge.
von Wilhelm Busch
Mit der Version 77 von Firefox ändert sich die Adressbar dahingehend, dass, sobald diese angeklickt wird, ein Zoom erfolgt. Leider wurde die Möglichkeit zur Deaktivierung dieses Features in der Version 77 abgeschafft (Firefox 75.0 Disable New Address Bar).
Mit den folgenden Einstellungen kann das Feature trotzdem deaktiviert werden. In die Adresszeile
about:config
eingeben und mit der Entertaste bestätigen. Daraufhin den Sicherheitshinweis ebenfalls bestätigen.
Als nächstes im Suchfeld nach den Einstellungen
toolkit.legacyUserProfileCustomizations.stylesheets
suchen.
Jetzt den Wert auf “false” setzen.
Als nächstes in die Adresszeile
about:profiles
eingeben.
Den Button „Ordner öffnen“ aus der Zeile Wurzelordner klicken. Es öffnet sich ein Fenster, welches alle Ordner in dem persönlichen Profil anzeigt. Hier muss ein weiterer Ordner mit dem Namen “chrome” angelegt werden, falls dieser nicht existiert. In den Ordner “chrome” eine Textdatei mit dem Namen “userChrome.css” anlegen und den folgenden CSS Code einfügen:
#urlbar[breakout][breakout-extend] { top: calc((var(--urlbar-toolbar-height) - var(--urlbar-height)) / 2) !important; left: 0 !important; width: 100% !important; } #urlbar[breakout][breakout-extend] > #urlbar-input-container { height: var(--urlbar-height) !important; padding-block: 0 !important; padding-inline: 0 !important; } #urlbar[breakout][breakout-extend][breakout-extend-animate] > #urlbar-background { animation-name: none !important; } #urlbar[breakout][breakout-extend] > #urlbar-background { box-shadow: none !important; }
Im Anschluss den Firefox neu starten und die Adresszeile funktioniert wieder wie zuvor.
Die kleinen Sterne scheinen immer, während die große Sonne oft untergeht.
von afrikanisches Sprichwort
Die Geschwindigkeit beim Scrollen mit dem Mausrad im Firefox kann wie folgt geändert werden. In der Adresszeile den Befehl:
about:config
eingeben und mit der Entertaste bestätigen. Daraufhin den Sicherheitshinweis bestätigen.
Als nächstes im Suchfeld nach der Einstellung
mousewheel.default.delta_multiplier_y
suchen.
Den Wert entsprechend erhöhen oder vermindern und die Scrollgeschwindigkeit (Y-Achse) entspricht dem persönlichen Wunsch.
Auch das schlechteste Buch hat seine gute Seite: die letzte!
von John Osborne
Um bei Ubuntu die Netzwerkschnittstellen auf “eth0” oder “wlan0” umzubenennen, müssen folgende Schritte durchgeführt werden:
sudo nano /etc/default/grub
Den Eintrag
GRUB_CMDLINE_LINUX=""
auf den Wert
GRUB_CMDLINE_LINUX="net.ifnames=0 biosdevname=0"
ändern und daraufhin den Befehl
grub-mkconfig -o /boot/grub/grub.cfg
ausführen, um die Änderungen im Bootloader zu übernehmen. Nach einem Neustart werden die geänderten Namen der Netzwerkschnittstellen dargestellt.
Die Dinge haben nur den Wert, den man ihnen verleiht.
von Molière
Wenn unter Ubuntu 18.04 Automount aktiv ist, dann wird beim Einbinden eines Datenträgers automatisch ein Dateifenster geöffnet. Mit der folgenden Einstellung kann das Verhalten abgeschaltet werden. Dafür in einem Terminal den Befehl eingeben:
gsettings set org.gnome.desktop.media-handling automount-open false
Die dafür notwendige Software “gsettings” kann mit dem Befehl
sudo apt-get install gsettings-desktop-schemas
installiert werden.
Reich sein heißt nicht Geld haben, sondern Geld ausgeben.
von Sacha Guitry
Auf der Seite ctf.0x00sec.org werden CTF Spiele veröffentlicht. Für die erste Aufgabe hier ein writeup.
Challenge
Analyse
Da auf der Seite keine hilfreichen Informationen zu finden sind, wird der Quelltext der Seite untersucht.
Der Kommentar gibt einen Hinweis, an welcher Stelle gesucht werden soll.
</body> <!-- TODO: --> <!-- * Remove the git directory after publishing --> </html>
Bei einem GIT Repository wird per default ein Ordner mit dem Namen “.git” angelegt. Weiterhin wird automatisch eine Struktur erstellt. Ein Versuch “https://exercise-1.0x00sec.dev/.git/” aufzurufen, ergab folgendes:
Die Anzeige der Fehlermeldung ist gut. Warum? Dadurch ist ersichtlich, dass der Ordner “.git” vorhanden ist.
Als nächstes kann jede einzelne Möglichkeit von weiteren Dateien oder Ordnern probiert werden, welche in der Dokumentation von GIT zu finden ist. Manuell macht das aber keinen Spaß. Das Tool “gitdumper” ist für diese Aufgabe perfekt geeignet.
Durchführung
Herunterladen des Tools “gitdumper” und starten.
./gitdumper.sh https://exercise-1.0x00sec.dev/.git/ DEST_FOLDER
Parameter | Beschreibung |
---|---|
DEST_FOLDER | Der Ordnername gibt an, wo die heruntergeladenen Dateien lokal gespeichert werden sollen. |
Die Ausgabe von “gitdumper” stellt sich wie folgt dar:
Mit dem Befehl “tree” kann danach eine übersichtliche Darstellung der heruntergeladenen Daten erzeugt werden.
Die einzelnen Commits werden bei GIT gepackt (ZIP), um Speicherplatz zu sparen. Die relevanten Informationen befinden sich im Ordner “objects”. Für das Entpacken habe ich ein kleines Script geschrieben:
#!/usr/bin/env python3 # -*- coding: utf-8 -*- import os import zlib # A compression / decompression library ROOT_DIR = "/EDIT_ME_PATH_TO_FOLDER/.git/objects/" def readFile(path_to_file): compressed_content = open(path_to_file, 'rb').read() decompressed_content = zlib.decompress(compressed_content) print("--- BOF --- ") print(decompressed_content) print("--- EOF --- ") def main(): for root, subdirs, files in os.walk(ROOT_DIR): for file in files: tmp_file = os.path.join(root, file) print(tmp_file) readFile(tmp_file) if __name__ == "__main__": main()
Das Script gibt die gepackten Daten aus. Zuvor muss die Variable “ROOT_DIR” auf den Ort der heruntergeladenen Daten entsprechend angepasst werden. Daraufhin das Script ausführen:
./zip_to_text.py
Da die Ausgabe etwas unübersichtlich ist, den Befehl erweitern:
./zip_to_text.py | grep Pass
Das sieht doch sehr gut aus. Hier findet ein Vergleich zwischen Username und Passwort statt, wobei das Passwort als SHA256 HASH abgelegt ist.
Den HASH-Wert gilt es zu cracken. Dafür kann eine beliebige Plattform verwendet werden.
Nach einigen Sekunden wurde der Originalwert des HASH (Result) angezeigt. Jetzt sind die Informationen für den Usernamen “admin” und für das Passwort “l33tsupah4x0r” bekannt und der Login kann durchgeführt werden.
Nach der Anmeldung wird das Flag “flag{g1t-dump1ng-i5-c00l}” angezeigt und die Aufgabe ist abgeschlossen.
Wir verlieren gegen die Zeit, nicht gegen den Wettbewerb.
von Unbekannt