Разведка и сбора информации - обзор инструментария OSINT https://defcon.ru/penetration-testing/14235/

RCE в VS code
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-17023

Kubernetes Pod Life Cycle Cheat Sheet

#k8s #kubernetes

https://garba.org/posts/2018/k8s_pod_lc/k8s_pod_lc.pdf

СХД на Эльбрусе. Говорят, диски Калининградские

Обсуждение в @sysadminka

В Слёрме стартует предпродажа курса "CI/CD на примере Gitlab CI".

Курс поможет понять принципы работы CI/CD. После обучения вы сможете автоматизировать процесс интеграции и поставки и ускорить цикл разработки с минимальными рисками.

В период предзаказа можно не только купить курс по выгодной цене, но и поучаствовать в формировании итоговой программы, задать свои вопросы спикерам.

До релиза (3 декабря) цена курса - 15 000 рублей.
Посмотреть программу и оставить заявку: https://slurm.club/31uxBJ3

https://www.debian.org/doc/manuals/packaging-tutorial/packaging-tutorial.en.pdf

Debain Packaging Tutorial

Как создаются и изменяются deb пакеты

Инструменты Linux,  о которых вы, скорее всего, не знаете

Читатели, связанные с ИБ решат задачку быстро и даже, скорее всего, укажут на ресурс, откуда я её стянул. Ну а всем остальным предлагаю узнать немного нового

Дано содержимое ethernet фрейма:
00 05 73 a0 00 00 e0 69 95 d8 5a 13 86 dd 60 00 00 00 00 9b 06 40 26 07 53 00 00 60 2a bc 00 00 00 00 ba de c0 de 20 01 41 d0 00 02 42 33 00 00 00 00 00 00 00 04 96 74 00 50 bc ea 7d b8 00 c1 d7 03 80 18 00 e1 cf a0 00 00 01 01 08 0a 09 3e 69 b9 17 a1 7e d3 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 0d 0a 41 75 74 68 6f 72 69 7a 61 74 69 6f 6e 3a 20 42 61 73 69 63 20 59 32 39 75 5a 6d 6b 36 5a 47 56 75 64 47 6c 68 62 41 3d 3d 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 49 6e 73 61 6e 65 42 72 6f 77 73 65 72 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 6d 79 69 70 76 36 2e 6f 72 67 0d 0a 41 63 63 65 70 74 3a 20 2a 2f 2a 0d 0a 0d 0a

Узнать пароль, переданный в этом фрейме. Решение будет через 12 часов

#linux #task

В комментариях уже несколько решений. Можно выделить три направления :

- разбор фрейма по байтам, выделение полезной нагрузки, чтение данных и декодирование

- перевод байтов в ASCII и декодирование встроенными средствами системы

- то же , что и второй вариант, но онлайн

Спасибо всем за ответы! Для себя я открыл новые возможности sed и awk. Мне кажется, стОит периодически постить такие задачки - они заставляют мозг шевелиться. Например, в этой можно подтянуть свои знания сети и IPv6 в частности, а так же работу инструментов Linux и разобраться с работой base64.

Как думаете, нужны ли такие задачки в канале?

xxd - утилита, переводящая hex в ASCII и обратно

Прогнав hex из задачи через xxd echo 'hex_data' | xxd -r -p получим HTTP заголовки, в которых указан тип авторизации Basic и зашифрованная строка.
Прогоняем полученную строку через base64 декодер и получаем ответ
echo 'base64_string' | base64 -d

00 05 73 a0 00 00 e0 69 95 d8 5a 13 86 dd 60 00 00 00 00 9b 06 40 26 07 53 00 00 60 2a bc 00 00 00 00 ba de c0 de 20 01 41 d0 00 02 42 33 00 00 00 00 00 00 00 04 96 74 00 50 bc ea 7d b8 00 c1 d7 03 80 18 00 e1 cf a0 00 00 01 01 08 0a 09 3e 69 b9 17 a1 7e d3 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 0d 0a 41 75 74 68 6f 72 69 7a 61 74 69 6f 6e 3a 20 42 61 73 69 63 20 59 32 39 75 5a 6d 6b 36 5a 47 56 75 64 47 6c 68 62 41 3d 3d 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 49 6e 73 61 6e 65 42 72 6f 77 73 65 72 0d 0a 48 6f 73 74 3a 20 77 77 77 2e 6d 79 69 70 76 36 2e 6f 72 67 0d 0a 41 63 63 65 70 74 3a 20 2a 2f 2a 0d 0a 0d 0a 

В коммментариях уже был подробный разбор фрейма из вчерашней задачи. Но я постараюсь сделать это более наглядно. Итак, что же мы можем узнать из этого набора симовлов?


<-- Мы знаем, что это ETHERNET фрейм. Вспомним формат фрейма. Следующий пост -->

- Первые 6 байт - source address: 00-05-73-a0-00-00
- Следующие 6 байт - destination address: e0-69-95-d8-5a-13
По OUI (первые три байта MAC адреса) можем узнать производителей общающихся устройств. Это Cisco и Pegatron

Следующие два байта ethertype: 86dd. Смотрим в таблице ethertype - это IPv6


<-- Разберем заголовки IPv6. Картинка ниже -->
- Первые 4 бита - 6 - версия: 6
- Следующие 8 бит - 00 - Traffic Class: 0. Трафик не приоритезирован
- Следующие 20 бит - 0 00 00 -  Flow Label
- Два байта - 00 9b - Объём полезной нагрузки. Переводим 9b в десятичное и получаем 155 байт. Тут небольшая путаница в формулировке Payload Length. Это означает всю полезную нагрузку + следующие заголовки самого IPv6. То есть получаем 155 - следующие 32 байта = 123 байта вложений
- Следующий байт - 06 - Next Header. Тут закодирована информация о протоколе, инкапсулированном внутрь IPv6. В данном случае это TCP (6 - TCP, 18 - UDP, 47 - GRE. Вы видели эти числа в фаерволе RouterOS при выборе протокола)
- Два байта - 40 - Hop Limit. То же, что TTL в IPv4. 0x40 = 64 в десятичной. Зная кол-во роутеров до нашей цели можно вычислить операционную систему источника. По дефолту Hop Limit в Windows 128, Linux 255, Cisco 64. У нас Cisco (но мы и так об этом знали по MAC адресу)
- Следующие 128 бит - 20 01  41 D0 00 02  42 33 00 00 00 00 00 00 00 04 - адрес источника. Переведем его в привычный вид: 2607:5300:60:2abc::bade:c0de
- И 128 бит адрес назначения 2001:41d0:2:4233::4


<-- Следующие 20 байт  - заголовки TCP (о том, что это TCP мы узнали из поля Next Header IPv6) -->

- 2 байта - 96 74 - source port: 0x9674 = 38516 в десятичной
- 2 байта - 00 50 - destination port: 0x0050 = 80 в десятичной
Там мы узнали какие протоколы могут быть уровнем выше (TCP 80 = HTTP) и кто является сервером. Конечно, порты можно переназначить, но мы то знаем, что мало кто этим занимается
- 4 байта - BC EA 7D B8 - sequence number
- 4 байта - 00 C1 D7 03 - acknowledgement number
- следующие 2 байта - 80 18 - Data Offset, Reserved bits и флаги. Флаги нам интересны больше всего. 0x18 = 0b11000. Первый бит (единичка) тут указывает на флаг ACK, второй - PUSH
- 2 байта - 00 E1 - Window size: 225
- 2 байта - CF A0 - контрольная сумма
- 2 байта - 00 00 - Urgent Pointer. Не установлено
- 12 байт опций, которые как и предыдущие данные не дадут нам полезной информации


<-- Следом идет L7 вложение. Как мы уже догадались, это HTTP -->

Передается он открытым текстом. Если взять все данные, начиная с 47 45 54 и раскодировать их любым инструментом (например xxd из ответа), то получим следующий текст:
GET / HTTP/1.1
Authorization: Basic Y29uZmk6ZGVudGlhbA==
User-Agent: InsaneBrowser
Host: www.myipv6.org
Accept: */*

Из которого мы узнаем UserAgent браузера, сайт, тип запроса GET и данные аавторизации.

Можете сами залить пакет из задачи сюда и наглядно все увидеть. Или использовать WireShark. А сейчас просто знайте сколько информации несет обычный Ethernet фрейм и сколько полезного можно узнать  о сети из него. И это очень полезно при дебаге различных проблем.

Ehternet headers

IPv6 Headers

TCP Headers