记得先切换到用户去敲 vncpasswd,要不然服务启动不了
会提示输入两个密码,一个是view-only密码,一个是可以完全控制的密码
我在view-only这个密码栽过一个坑,连接上了,鼠标就是怎么点也没有反应,只有
一个桌面,桌面的时间也动。后来才知道有一个view-only的模式。
最好把view-only跟control的密码设置不一样,如果一样默认会优先使用view-only模式。
参考链接:
1.How to Install and Configure VNC Server in CentOS 7
2.CentOs 7安装配置VNC Server---[亲测]
2017年12月12日星期二
2017年12月6日星期三
RAT工具 (Remote Administrator Tools)
以前接触过灰鸽子,等各种远程控制木马工具,那是6、7年前的事情了,现在我再去找这类工具已经很难找到了,国际上,信息安全经过这么多年的沉淀,已经将这类木马工具归入到一个术语RAT下,RAT是一类同样用途工具的统称,无论是android、ios、windows或者linux,在它们之上运行的远程控制木马都是叫RAT。
cve0day是一个组织,专门收集各类主机系统安全的工具,提供了各种木马进行测试。
病毒检测方法:
1. 通过系统安装的杀毒软件
2. 通过网络在线检测工具,国内的是 virScan,国外的是 virusTotal
cve0day是一个组织,专门收集各类主机系统安全的工具,提供了各种木马进行测试。
病毒检测方法:
1. 通过系统安装的杀毒软件
2. 通过网络在线检测工具,国内的是 virScan,国外的是 virusTotal
sudoers生产环境配置示例
sudoers基本配置语法
user1 ALL=(root)NOPASSWD:Cmnd_Alias
ALL 表示默认所有主机,这是集群环境下用的,按默认写就行了
NOPASSWD:表示不用输入密码就可以执行sudo
Cmnd_Alias : 命令集的别名
通配符和取消命令
例子: papi ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk
用例子2来说明通配符*的用法, 以及命令前面加上!号表示取消该命令。
该例子的意思是: 用户papi在所有可能出现的主机上, 能够运行目录/usr/sbin和/sbin下所有的程序, 但fdisk除外.
黑名单模式,配置示例
user1,user2 执行sudo的限制
1. 不能更改其他用户的密码,只能更改自己的, 不允许更改root的密码
2. 不能切换到其他用户,不能用su
3. 不能修改/etc/sudoers,提升自己的权限
4. 不能执行用户管理和组管理的命令
5. 不能修改其他用户的文件ACL
6. 不允许使用vi,vim修改系统文件,比如passwd,shadow
参考链接:
1. sudo 命令情景分析
2. 企业生产环境用户sudo权限集中管理项目方案案例
user1 ALL=(root)NOPASSWD:Cmnd_Alias
ALL 表示默认所有主机,这是集群环境下用的,按默认写就行了
NOPASSWD:表示不用输入密码就可以执行sudo
Cmnd_Alias : 命令集的别名
通配符和取消命令
例子: papi ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk
用例子2来说明通配符*的用法, 以及命令前面加上!号表示取消该命令。
该例子的意思是: 用户papi在所有可能出现的主机上, 能够运行目录/usr/sbin和/sbin下所有的程序, 但fdisk除外.
黑名单模式,配置示例
Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp ,/bin/umask Cmnd_Alias USERMP = /sbin/useradd, /sbin/adduser, /sbin/usermod, /sbin/userdel Cmnd_Alias GROUPMP = /sbin/groupadd, /sbin/groupdel, /sbin/groupmod, /sbin/gpasswd Cmnd_Alias EDITOR = /bin/vi, /bin/vim, /usr/bin/vi, /usr/bin/vim
Cmnd_Alias PASSWDCHG = /usr/bin/passwd [A-z]*, /usr/bin/passwd "" admin1,admin2 ALL=(root)NOPASSWD:ALL,!/usr/bin/su [A-z]* user1,user2 ALL=(root) ALL,!/usr/bin/su *,!PASSWDCHG,!USERMP,!GROUPMP,!DELEGATING,!EDITOR
user1,user2 执行sudo的限制
1. 不能更改其他用户的密码,只能更改自己的, 不允许更改root的密码
2. 不能切换到其他用户,不能用su
3. 不能修改/etc/sudoers,提升自己的权限
4. 不能执行用户管理和组管理的命令
5. 不能修改其他用户的文件ACL
6. 不允许使用vi,vim修改系统文件,比如passwd,shadow
参考链接:
1. sudo 命令情景分析
2. 企业生产环境用户sudo权限集中管理项目方案案例
2017年10月19日星期四
cisco AIR-LAP1142N-A-K9 无线AP使用记录
1. 在新版的镜像中,CAPWAP被 LWAPP协议取代了
2. 胖ap 与 瘦ap 模式下都可以用POE供电
3. 如果电源有故障,会导致AP发热很严重,而且运行一天左右就会自动断电
4. 正常情况下的供电,AP也会发热,总的来说比国产AP发热要大
5. 瘦AP无法加入WLC,可能会与国家代码有关,比如CN 与 US的就必须要添加两个代码后
才能加入。有一篇排除链接在下面。
web界面默认账号密码: admin/Cisco
瘦AP console默认账号密码 : Cisco/Cisco
所有的enable默认密码: Cisco
胖ap镜像名称:
c1140-k9w7-mx.153-3.JAB
c1140-k9w7-tar.153-3.JAB.tar
瘦ap镜像名称
c1140-k9w8-mx.153-3.JA3
启动信息
设备标签信息
参考链接:
1. Cisco胖瘦AP的识别与转换
2. 轻量级无线接入点不能加入到无线控制器的故障排除
3. 思科胖AP升级到瘦AP
4. IOS images for Cisco 1140 series wireless access points
2. 胖ap 与 瘦ap 模式下都可以用POE供电
3. 如果电源有故障,会导致AP发热很严重,而且运行一天左右就会自动断电
4. 正常情况下的供电,AP也会发热,总的来说比国产AP发热要大
5. 瘦AP无法加入WLC,可能会与国家代码有关,比如CN 与 US的就必须要添加两个代码后
才能加入。有一篇排除链接在下面。
web界面默认账号密码: admin/Cisco
瘦AP console默认账号密码 : Cisco/Cisco
所有的enable默认密码: Cisco
胖ap镜像名称:
c1140-k9w7-mx.153-3.JAB
c1140-k9w7-tar.153-3.JAB.tar
瘦ap镜像名称
c1140-k9w8-mx.153-3.JA3
启动信息
ap#show boot
BOOT path-list: flash:/c1140-k9w7-mx.153-3.JAB/c1140-k9w7-mx.153-3.JAB
Config file: flash:/config.txt
Private Config file: flash:/private-config
Enable Break: yes
Manual Boot: no
Enable IOS Break: no
HELPER path-list:
NVRAM/Config file
buffer size: 32768
Mode Button: on
Radio Core TFTP:
设备标签信息
电源相关信息
参考链接:
1. Cisco胖瘦AP的识别与转换
2. 轻量级无线接入点不能加入到无线控制器的故障排除
3. 思科胖AP升级到瘦AP
4. IOS images for Cisco 1140 series wireless access points
2017年9月17日星期日
adb安装与使用,frida测试
0x01 adb安装与使用
https://developer.android.com/studio/index.html
下载android开发IDE
android-studio-bundle-162.4069837-windows.exe
1.下载用7z打开安装文件
2.$TEMP 目录下android-sdk.7z文件,把它提取出来
3.用7z打开android-sdk.7z,把platform-tools解压出来
4.将adb.exe复制到C:Windows\system32与SysWOW64
5.将AdbWinApi.dll与AdbWinUsbApi.dll复制到C:Windows\SysWOW64
然后打开cmd就可以运行adb了
用0.4.6的 adb.exe AdbWinApi.dll
用2.3.3的 AdbWinUsbApi.dll
2018/8/1 更新
使用夜神模拟器进行测试。
安装完夜神模拟器后,使用夜神多开器,模拟安装5.1版。
把模拟器调为手机版,并且打开 开发者模式,然后重启
在安装目录下的,nox/bin/ , 有 adb 和 nox_adb。
常用的adb命令:
查看设备是否连接到,使用 adb devices
进入设备shell,使用 adb shell
启动adb服务,使用adb start-server
关闭adb服务,adb kill-server
frida-server安装与使用
注意:
1. frida-server的版本应该与客户端一致
2. 模拟器应该使用 Android-x86的版本
3. xz -d 就可以解压完成
frida-tools安装与使用
1. 在windows下的安装参考 Android HOOK 技术之Frida的初级使用
或者直接在这个链接下载 https://pypi.org/project/frida/
2. pip进行frida以及工具的安装
pip install frida
pip install frida-tools
更新frida,可以用 pip install --upgrade xxx 处理
可以用 pip install frida==10.23.2,去安装指定的旧版本
新版本的变化很多,很多就版本的函数都兼容不了
调试代码的工具,可以使用IPyhon
安装Ipython,pip install IPython
3. 使用 frida-ps -R 前进行端口转发
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043
0x02 frida hook
frida 可以对内存里面应用的函数进行直接的操作,来修改返回值
frida参考链接
Android HOOK 技术之Frida的初级使用
Android逆向之hook框架frida篇
利用FRIDA攻击Android应用程序(一)
Brida参考链接
联合Frida和BurpSuite的强大扩展--Brida
Brida:使用Frida进行移动应用渗透测试
Brida官方教程:讲解的很详细
安卓记得关闭selinux
夜神安卓模拟器adb命令详解
故障排除:unable to communicate with remote frida-server
https://developer.android.com/studio/index.html
下载android开发IDE
android-studio-bundle-162.4069837-windows.exe
1.下载用7z打开安装文件
2.$TEMP 目录下android-sdk.7z文件,把它提取出来
3.用7z打开android-sdk.7z,把platform-tools解压出来
4.将adb.exe复制到C:Windows\system32与SysWOW64
5.将AdbWinApi.dll与AdbWinUsbApi.dll复制到C:Windows\SysWOW64
然后打开cmd就可以运行adb了
用0.4.6的 adb.exe AdbWinApi.dll
用2.3.3的 AdbWinUsbApi.dll
2018/8/1 更新
使用夜神模拟器进行测试。
安装完夜神模拟器后,使用夜神多开器,模拟安装5.1版。
把模拟器调为手机版,并且打开 开发者模式,然后重启
在安装目录下的,nox/bin/ , 有 adb 和 nox_adb。
常用的adb命令:
查看设备是否连接到,使用 adb devices
进入设备shell,使用 adb shell
启动adb服务,使用adb start-server
关闭adb服务,adb kill-server
frida-server安装与使用
注意:
1. frida-server的版本应该与客户端一致
2. 模拟器应该使用 Android-x86的版本
3. xz -d 就可以解压完成
frida-tools安装与使用
1. 在windows下的安装参考 Android HOOK 技术之Frida的初级使用
或者直接在这个链接下载 https://pypi.org/project/frida/
2. pip进行frida以及工具的安装
pip install frida
pip install frida-tools
更新frida,可以用 pip install --upgrade xxx 处理
可以用 pip install frida==10.23.2,去安装指定的旧版本
新版本的变化很多,很多就版本的函数都兼容不了
调试代码的工具,可以使用IPyhon
安装Ipython,pip install IPython
3. 使用 frida-ps -R 前进行端口转发
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043
0x02 frida hook
frida 可以对内存里面应用的函数进行直接的操作,来修改返回值
frida参考链接
Android HOOK 技术之Frida的初级使用
Android逆向之hook框架frida篇
利用FRIDA攻击Android应用程序(一)
Brida参考链接
联合Frida和BurpSuite的强大扩展--Brida
Brida:使用Frida进行移动应用渗透测试
Brida官方教程:讲解的很详细
安卓记得关闭selinux
夜神安卓模拟器adb命令详解
故障排除:unable to communicate with remote frida-server
2017年9月6日星期三
wheezy(debian 7.5)编译安装Snort 2.9.9
Snort 2.99版的官方介绍
先把基本的依赖库安装好
pcre使用8.4版的,去官网下载并且编译安装
daq直接使用snort官方下载页面上推荐与2.9.9搭配的版本即可
在Snort 2.9.9的介绍页面中,nghttp2需要被使用,如果你用1.25的版本在wheezy可能装不了,那就用1.19的版本
最后安装snort,这一部可编译的选项比较多,可以自己看一下configure文件帮助
启动Snort,运行正常
在安装目录下,直接运行
如果是编译过程出错,要重新编译
参考链接:
1. ubuntu下snort的安装
2. How to Install Snort on Ubuntu 16
apt-get install -y gcc zlib1g-dev openssl libssl-dev libdumbnet-dev bison flex libdnet
wget http://www.tcpdump.org/release/libpcap-1.8.1.tar.gz tar xvf libpcap-1.8.1.tar.gz cd libpcap-1.8.1/ ./configure make && make install
pcre使用8.4版的,去官网下载并且编译安装
wget https://ftp.pcre.org/pub/pcre/pcre-8.40.tar.gz tar xvf pcre-8.40.tar.gz cd pcre-8.40/ ./configure make && make install
daq直接使用snort官方下载页面上推荐与2.9.9搭配的版本即可
tar xvf daq-2.0.6.tar.gz cd daq-2.0.6/ ./configure autoreconf -ivf make && make install
在Snort 2.9.9的介绍页面中,nghttp2需要被使用,如果你用1.25的版本在wheezy可能装不了,那就用1.19的版本
wget https://github.com/nghttp2/nghttp2/releases/download/v1.19.0/nghttp2-1.19.0.tar.gz tar xvf nghttp2-1.19.0.tar.gz cd nghttp2-1.19.0/ ./configure make && make install ldconfig
最后安装snort,这一部可编译的选项比较多,可以自己看一下configure文件帮助
tar xvf snort-2.9.9.0.tar.gz cd snort-2.9.9.0/ ./configure --enable-sourcefire autoreconf -ivf make make install
启动Snort,运行正常
[root@debian ~]# snort
Running in packet dump mode
--== Initializing Snort ==--
Initializing Output Plugins!
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.9.0 GRE (Build 56)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2016 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.8.1
Using PCRE version: 8.30 2012-02-04
Using ZLIB version: 1.2.7
Commencing packet processing (pid=18702)
WARNING: No preprocessors configured for policy 0.
07/13-02:06:08.985161 172.16.11.196:22 -> 172.16.11.198:49388
TCP TTL:64 TOS:0x10 ID:35782 IpLen:20 DgmLen:108 DF
***AP*** Seq: 0x4F4E4F4 Ack: 0x35E422BA Win: 0x677 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
在安装目录下,直接运行
make uninstall make clean
如果是编译过程出错,要重新编译
make clean 然后再 ./configure make && make install
参考链接:
1. ubuntu下snort的安装
2. How to Install Snort on Ubuntu 16
2017年8月21日星期一
OSSIM sensor 状态不正常的解决方案
很久没有用ossim,这次下载了5.4版本的用,结果不仅系统很卡,而且有各种bug,sensor状态不正常就很恶心,明明通过 alienvault-api systems 命令去测试sensor的可达性是没有问题的,但是在web界面显示故障,这在就版本是不存在的啊!
于是我翻硬盘资料找到,OSSIM 4.8的ISO镜像,后来安装好后,竟发现OSSIM 4.8的功能比5.4还要多,这让我很惊讶,而且也没有sensor状态显示不正常的bug。
难道OSSIM商业化后,开始不维护开源版本的代码吗,不维护就算了,还将功能缩减,增加bug,性能降低,目的估计都是要用户买他们USM吧!注意,这里只是个人意见,不代表真实情况。
我在OSSIM论坛看到有人说这是一个长期的bug。显然不是,我之前用的 4.15.1版本,也是没有问题的。
如下图,在4.8是正常的
于是我翻硬盘资料找到,OSSIM 4.8的ISO镜像,后来安装好后,竟发现OSSIM 4.8的功能比5.4还要多,这让我很惊讶,而且也没有sensor状态显示不正常的bug。
难道OSSIM商业化后,开始不维护开源版本的代码吗,不维护就算了,还将功能缩减,增加bug,性能降低,目的估计都是要用户买他们USM吧!注意,这里只是个人意见,不代表真实情况。
我在OSSIM论坛看到有人说这是一个长期的bug。显然不是,我之前用的 4.15.1版本,也是没有问题的。
如下图,在4.8是正常的
订阅:
博文 (Atom)