Catégorie : Informatique

Le module geoip pour nginx a besoin de base de données à jour pour être pertinent.
Ces bases peuvent être téléchargé gratuitement, mais leur format a changé récemment, les rendant incompatible avec le module geoip historique.
C’est là qu’arrive le module geoip2 qui peut lire ce nouveau format, mais hélas, le module pour nginx est actuellement introuvable pour Debian.

Administration Notes

Dans les logs, tout plein de:

[mer. jan 10 22:49:11 2019] audit: type=1400 audit(1548884940.162:98): apparmor="DENIED" operation="mknod" profile="/usr/sbin/named" name="/etc/bind/SLAVE/tmp-8tAieH8oKP" pid=716 comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=113 ouid=113

Administration Informatique Notes

Administration Informatique Notes

Ceci est un complément au « blog post » « Metasploit: Générer une « backdoor » indétectable en C » .

J’y expliquais comment créer une « backdoor » « 32 bit », mais pas « 64 bit » .

Mes tests de « backdoor » « 64 bit » plantaient systématiquement, avec un message d’erreur abscons …
J’étais pourtant sur la bonne piste et j’ai trouvé la solution quelques heures après la publication de mon « blog post » sur la version « 32 bit » …

Exploit Informatique Prog

Revu sommaire du système de fichiers “BTRFS” .

Comme souvent, je rédige ce post au fur et a mesure de mes découvertes: il ne s’agit pas d’un cours et les erreurs ne sont pas exclus.

Je ne parlerai pas des propriétés d’agrégation de disques pour constituer des RAIDs: c’est un vaste sujet qui ne m’intéresse pas ici.

Administration Informatique

Il s’agit juste d’une prise de notes rapides sur l’installation et l’utilisation de « ZFS » sous Debian.
Je survole très vite ce formidable système de fichiers (et de disques)…

Si je reste en surface de « ZFS » , c’est parce que j’y ai vu des limites majeures, dont les suivantes:

  • Pas de « shrink » possible.
  • Pas de « defrag » possible, alors que les perfs s’écrouleraient a l’approche des 90% de remplissage.
  • Pas d’intégration complète dans  »Debian ». (module « zfs » a compiler)
  • Pas de support des « reflinks », aka: « cp –reflinks=always …« 

Après, le reste, c’est super: le « RAID », la compression, les « snapshots » …

Mais, « Btrfs » existe déjà, avec quelques défauts aussi, mais pas ceux que j’ai listé pour « ZFS ».

Donc, bref, quoi: voici quelques notes sur « ZFS », et puis je vais voir ailleurs.

Administration Informatique

Republication d’article

Source de l’article: Metasploit: Générer une « backdoor » indétectable en C

Il s'agit d'un blog post consacré à la création de “backdoor” pour injecter le service “meterpreter” sur des ordinateurs de victimes (consentantes).

Nous avons vu que les services antivirus détectaient nos “créations” comme “malware” , malgré les encodages que nous avions fait avec la commande “msfvenom”.

Nous allons voir maintenant comment créer une “backdoor” indétectable, ou presque 😉

Pour cela , il va falloir faire un tout petit peu de programmation en C …

Exploit Informatique Republication

Republication d’article

Source de l’article: Metasploit et msfvenom: Générer un exécutable Windows avec un PAYLOAD

J'ai déjà montré comment installermetaploit” sous Debian.
J'ai aussi montré comment s'appuyer sur diverses failles pour introduire le logiciel “meterpreter”.
J'ai aussi montré comment embarquer “meterpreter” dans un exécutable

Mais certains antivirus résistent encore (ou se mettent simplement à jour), et les techniques d'hier ne fonctionnent plus forcément aujourd'hui.

Donc, on va repartir des bases, et tenté de trouver des solutions…

Exploit Informatique Republication

Republication d’article

Source de l’article: Metasploit: « meterpreter » contre les « Antivirus »

meterpreter” est une petite suite de commandes qui vient avec le “framework” “metasploit”, et qui permet de “mettre à l'épreuve” la sécurité des postes et des serveurs.

L'utilisation de ces commandes est possible soit après une intrusion par le biais de vulnérabilité (comme "MS17-010"), soit par le biais d'une “porte dérobé” , une “backdoor”.

Ici, nous allons montrer d'abord un usage classique de “meterpreter” à partir d'identifiants “Windows” valides: Il va de soit que plus les identifiants ont des droits élevés, plus “meterpreter” sera en mesure d'extirper des informations sensibles.

Et puis, nous verrons comment esquiver la quasi-totalité des logiciels “Antivirus”, car lorsqu'ils sont présent, ils ont la fâcheuse tendance à considérer le service “meterpreter” comme un vilain malware. 😉

Exploit Informatique Republication

Republication d’article

Source de l’article: DoublePulsar: Mise en pratique d’un exploit sous Windows 2003 à partir de Debian

Dans la continuité de mes “blog post” à propos de la faille “MS17-010” et du virus “WannaCry”, je vais montrer comment prendre le contrôle de serveurs Windows 2003 avec “DoublePulsar” et ceci, à partir de Debian bien sur !

La mise en place jusqu'à l’exécution de l'exploit est un peu longue et un peu complexe… mais j'ai fait de mon mieux pour ne rien oublier.

Déjà, il faudrait parler de “DoublePulsaretEternalRomance”, car l'exploit ne fonctionnera qu'avec l'utilisation des 2 là:

  • DoublePulsar” est le “malware”/“backdoor” qui va être injecté.
  • EternalRomance” est l'exploit qui va injecter “DoublePulsar”.

Mais à la fin, on va encore devoir envoyer un “shellcode” sous forme de DLL à la “backdoor” “DoublePulsar” pour établir la communication avec une console sous “metasploit”.

Oui, je sais: ça pique déjà.

Par ailleurs, la plupart des démonstrations montrent qu'il faut 3 PC:

  1. La victime sous Windows 2003
  2. Un poste sous Windows 7 qui va utiliser un outil nommé “fuzzbunch” …
  3. Un poste qui va recevoir le contrôle, en console, de la victime.

Rares sont les solutions qui parlent aussi d'utiliser “Wine” a la place de Windows 7

Et c'est ça que je vais vous montrer, car on va remplacer Windows 7 par Wine
Et là, plus besoin de 3 postes: La victime et notre Debian suffiront. 😉

Mes sources principales:

Exploit Informatique Republication