Forum bezpieka.org

Pełna wersja: Prośba o spostrzeżenia od profesjonalistów :)
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Stron: 1 2
Witam serdecznie ,

Od jakiegoś czasu biję się z myślami ... (długo nie wypowiadałem się i jestem ciekaw waszych opinii ..)

Udało mi się podszkolić w pythonie (skupiając się gównie na module socket ,request), z czego jak do tej pory nie wykorzystałem tej wiedzy .. to taki plus na wstępnie :p(no i minus dla równowagi).

Zaglądam często do tych książek, i doszedłem do wniosku ze wszędzie jest to samo..
1. Metasploit /. przewodnik po testach penetracyjnych
2. Bezpieczny system w praktyce ,wyższa szkoła hackingu
3.125 sposób na bezpieczny system.(z wyjątkiej tej)


Kurcze najgorsze jest to że mam wrażenie , ze to są jakieś przestarzałe metody .. sam nie wiem co o tym mysleć ..
Windows xp ,msql w wersi 2005 .. Czy to może nadal funkcjonować ..? Chciał bym się zabrać w jakiś interesujący spósób za ćwiczenia w laboratorium , ale to co do tej pory widzę troszkę mnie odstrasza..

Moze wy mi podpowiecie co będzie najlepsze :(
Najwięcej nauczysz się rozwiązując problemy. Niestety książki i artykuły ze świata IT się szybko dezaktualizują. Nie mówiąc nawet o bezpieczeństwie, które zmienia się jak pogoda wiosną :) Z dnia na dzień, stare sprawdzone systemy wychodzą z użytku przez odkrycie nowej podatności. Stare podatności są łatane, powstają nowe i tak w kółko.

Guide z msf to tak naprawdę tylko case study, pokazujące jak używać frameworka. Nie sposób opisać wszystkich modułów, które są w nim zawarte, jednak w realnym podejściu, gotowe pakiety są "awaryjne", skorzystasz z nich raz/dwa na kilkanaście pentestów, jeśli Ci się poszczęści. Zaletą metasploita jest jego łatwa skalowalność i rozwój przez własne pakiety. Dlatego wszystkie książki pokazują to, co najlepiej wygląda (niestety) no i przy okazji nakreślają schemat użycia. Niestety do reszty trzeba dojść samemu. Samemu poświęcając godziny nad proxy, debuggerem czy edytorem w zależności od zadania.

Chcesz się rozwijać, chcesz ciekawy sposób na ćwiczenia w labie? Świetnie! Odpalaj debugger, (możesz odpalić pythona i nakodzić solver, ale jest zbędny) i:
Zapraszam do crackme :) Wątek tutaj:
http://forum.bezpieka.org/thread-4212-po...l#pid30561

Jutro będą nowe, ciekawsze. Postaram się, żeby jedno z optymalnych rozwiązań było skryptowalne.
(03-08-2017, 22:27)PanKernel napisał(a): [ -> ]Najwięcej nauczysz się rozwiązując problemy. Niestety książki i artykuły ze świata IT się szybko dezaktualizują. Nie mówiąc nawet o bezpieczeństwie, które zmienia się jak pogoda wiosną :) Z dnia na dzień, stare sprawdzone systemy wychodzą z użytku przez odkrycie nowej podatności. Stare podatności są łatane, powstają nowe i tak w kółko.

Guide z msf to tak naprawdę tylko case study, pokazujące jak używać frameworka. Nie sposób opisać wszystkich modułów, które są w nim zawarte, jednak w realnym podejściu, gotowe pakiety są "awaryjne", skorzystasz z nich raz/dwa na kilkanaście pentestów, jeśli Ci się poszczęści. Zaletą metasploita jest jego łatwa skalowalność i rozwój przez własne pakiety. Dlatego wszystkie książki pokazują to, co najlepiej wygląda (niestety) no i przy okazji nakreślają schemat użycia. Niestety do reszty trzeba dojść samemu. Samemu poświęcając godziny nad proxy, debuggerem czy edytorem w zależności od zadania.

Chcesz się rozwijać, chcesz ciekawy sposób na ćwiczenia w labie? Świetnie! Odpalaj debugger, (możesz odpalić pythona i nakodzić solver, ale jest zbędny) i:
Zapraszam do crackme :) Wątek tutaj:
http://forum.bezpieka.org/thread-4212-po...l#pid30561

Jutro będą nowe, ciekawsze. Postaram się, żeby jedno z optymalnych rozwiązań było skryptowalne.

Przyznam że spodziewałem się tego :P ..Nie wiem co te zadanie ma wspólnego z bezpieczeństwem :).

Nigdy tego nie robiłem , nie wiem jak to ugryźć . Z reguły robiłem podstawy ,Mitm ,ArpSpoof , Dnsspoof wszystko co w tych książkach . Bez sensu ,mam wrażenie że tylko czas straciłem . Czy kurs Niebzepiecznika mógł by mnie naprowadzić na dobry tor ? Zbierałem na niego trochę czasu , i chciał bym spróbować
Co to zadanie ma wspólnego z bezpieczeństwem? Bardzo dużo, właściwie pytanie mnie rozbawiło, ale potem przeanalizowałem teksty, na jakie trafiam w internecie i trochę rozumiem zamysł. Bo rozumienie "bezpieczeństwa" nawet w gronie bezpieczników wannabe jest delikatnie mówiąc słabe i zdegenerowane. <niniejszy tekst nie ma w żadnym stopniu łechtać mojego ego, rozważam crackme jako dziedzinę, sztukę tworzenia zadań dla hackerów czy pentesterów, w tej dziedzinie sztuki uważam siebie za dziecko, które pierwszy raz (no dobra, dziesiąty) trzyma pędzel i farbki, nijak mi do pro>

I rozumiem "to" jako całe spektrum crackme, [w szczególności binary exploitation]. To jest "hacking i bezpieczeństwo". Szukanie luk (akurat przytoczone crackme wyolbrzymia jeden z błędów programistycznych, ale w szkole zanim zacznie się pisać w zeszycie w kratkę zaczyna się od podwójnej linii i szlaczków) to nie odpalenie gotowego skryptu czy skanera oraz zastosowanie trzech komend na krzyż "jak leci" (te nazwy co podałeś). To jest dziecinada i zabawa - to potrafi każde dziecko skryptu, wystarczy że ze zrozumieniem przeczyta (tak wiem, zanikająca umiejętność) fragment "tutoriala", których w sieci jest pełno. Hacking (wypowiadam się tylko w kwestii whitehata, innych nie rozważam, ale motywacja niewiele zmienia) to umiejętność zmuszania rzeczy (bytów, jak software,, hardware) do działania w sposób inny niż zostały wymyślone czy wręcz, wykorzystanie ich do celu, do którego nie miały zostać użyte w zamyśle twórcy (zabezpieczenia). ArpSpoofa wykorzystasz nie znając programu, wystarczy że uruchomisz go z opcją --help i zapoznasz się z kilkoma zdaniami dokumentacji. Gdyby na tym "hacking" polegał, to dzisiaj firmy jak CloudFare, Akamai czy każdy lab producenta AV byłby bezrobotny. Zauważ, że korzystać z takich narzędzi można bez zrozumienia mechanizmu działania komputera, sieci. Ale obrona przed tego typu "atakami" jest prosta i znana od lat. Skoro jest znana od lat, to czemu wciąż jest zapotrzebowanie na pentesty, czemu wciąż dochodzi do wycieków? I tu wracamy do rozumienia, a nie klikania jak małpa w wybrane przełączniki programu.

Przez tego typu błędy <jak te prezentowane w zadaniach z ctf>, powstają luki bezpieczeństwa, których skutki mogą być opłakane. Jakie dokładnie? Pierwszy przykład z rękawa - zdalne wykonanie kodu dostarczonego przez atakującego. Jeśli aplikacja (dajmy na to serwer) analizujący wysłany plik, wysypuje się z racji jego rozmiaru i umożliwia przejęcie kontroli nad flowem instrukcji, to mamy problem. Bo może chodzi on z suidem i możemy wykonać dowolną operację z prawami roota? Dodać swojego użytkownika, pobrać wszystkie dane będące na serwerze... To już ma dużo wspólnego z security.

Myślisz, że to się nie zdarza? Wyszukaj dowolne CVE oznaczone jako remote code execution (RCE), gwarantuje Ci, że z tego miesiąca już jest kilka. Jak przyjrzysz się im głębiej, w kodzie to czasami są to błędy bardzo prozaiczne. Jak operacja wartości bezwzględnej abs(x), która z racji tego, że w systemie u2 mamy więcej ujemnych liczb niż dodatnich może zwrócić wartość ujemną! Albo brak jednego ze znaków, który z bitwise or robi logiczny or. 

A teraz wracamy do rzeczywistości i zadań białego kapelusza jako pentestera. Dostajesz zadanie sprawdzenia (blackbox) infrastruktury firmy. Odrabiasz zadanie domowe czyli rekonesans i co? Wszystkie systemy aktualne, hasła mocne (+fail2ban i tym podobne), Twój super hakerski skaner zwraca same false positive albo nie zwraca nic. Próbujesz socjotechniki, wysyłasz maile ze spreparowanym plikiem excela z makrami vbs. Pliki od razu trafiają do kosza, bo są doskonale znane antywirusom. Zanim jeszcze zaistniał moduł do metasploita ich sygnatury zostały rozpowszechnione przez wszystkich producentów antywirów. Obfuskujesz kod (gotowymi narzędziami) i podsyłasz jeszcze raz. Tym razem pracownicy są czujni i sami usuwają wiadomości. Czy to znaczy, że możesz spokojnie przejść do firmy i powiedzieć, że ich organizacja jest bezpieczna? Tak?

Uczenie się na ślepo narzędzi naprawdę nic Ci nie da, bo można to opanować w tydzień.
Chodzi o to, żeby problem zrozumieć. Myśleć outside the box. Formularz logowania nie jest podatny na 1 or 1'? To może spróbuj przemycić taki ciąg znaków, który nie zostanie wychwycony przez parser po stronie serwera i dojdzie do path traversala?! O to właśnie chodzi! Analizujesz, doskonale znasz działanie, wykorzystujesz. 

Wiesz lub przeczuwasz, że luka istnieje? Odpowiednio przygotowany obrazek jest w stanie zawiesić system (typowy DoS)? Ale nie masz tego obrazka? Nie ma też narzędzia, którym go wygenerujesz. Co wtedy? Bierzesz ulubiony edytor, język programowania i tworzysz na szybkości narzędzie, które Ci to umożliwi. 

Trochę się rozpisałem, jednak podkreślam - najważniejsze jest zrozumienie i myślenie. To właśnie zadania typu crackme, gdzie nie da się wrzucić (to akurat by się dało ale mniejsza z tym) do gotowego narzędzia, które samo po wybraniu dwóch/trzech opcji wygeneruje rozwiązanie i zrobi z Ciebie hakera. Jeśli chcesz się rozwijać w kierunku bezpieczeństwa, które (jak zawsze powtarzam) jest najobszerniejszym działem informatyki, to musisz zacząć od podstaw i rozumienia.


Co do kursów - generalnie jestem "na tak". Ale tego konkretnego Ci nie polecę, bo nie wiem co umiesz, czego nie umiesz. Bez sensu jest (moim zdaniem) wydać pieniądze, żeby nauczyć się wyklikiwać opcje w burpie czy przesiedzieć całe szkolenie nie rozumiejąc co za kosmos się odstawia, bo utknęło się na pierwszym terminie - serializacja. Dlatego jeśli masz podstawy, to szkolenie jest sensownym pomysłem. Jeśli nie masz, lub przeczuwasz że nie masz - to wytrwale je zdobywaj. Inaczej wyrzucisz pieniądze w błoto. Ale to Twoje fundusze i Twoja decyzja. 

No, to tyle z mojej strony. Możesz się nad tym zastanowić. Albo okaże się, że znajdziesz odpowiedź na pytanie, albo zmarnowałem swój czas "wymądrzając się".
Sam nie wiem co odpisać...

Jeśli mam być szczery ,to jestem rozczarowany swoją naiwnością, zadaje sobie cały czas pytanie jak mogłem stracić tyle czasu na studiowanie tych książek ..(Choć jedyna której teraz nie żałuje to Informatyka śledcza)

No cóż głowa do góry, jak nie drzwiami to oknem.+

Po przeczytaniu twojej wiadomości zabrałem się za odrabianie lekcji w tamacie binary exploitation. +

Choć musze na nowo się zastanowić nad całym tematem ,w tym momencie te ksiązki były moim punktem zaczepienia ,teraz uważam że to strata czasu.
Poprzednia wiadomość brzmiała inaczej :P i trochę nie wiedziałem jak się do niej odnieść - może czytanie na szybko podczas przerwy w pracy to nie był najlepszy sposób, bo miałem małą odpowiedź ułożoną, a tu trochę zmiana zawartości.

Odniosę się tylko do drugiego lub trzeciego zdania, w którym pisałeś o traktowaniu/uważaniu Ciebie za dziecko. Jedyne porównanie do dziecka, to to dotyczące mojej skromnej osoby w powyższym tekście i układania zadań. Nie robię wobec Ciebie założeń. Z drugiej strony, skoro bywasz na forach to wiesz, że trzeba mieć wywalone na to, co banda krzykaczy o Tobie "uważa" i robić swoje. Ja też wyrosłem z kopania się w wątkach. Oczekuję dowodów, papierków i wszelakich PoC pod tezami, z którymi się nie zgadzam :) zawsze mogę się czegoś nowego nauczyć. Jeśli piszę za prostym językiem, wystarczy dać znać.Podobno inżynierowie za często piszą żargonem i trudno im wytłumaczyć nawet trywialne zagadnienia. Staram się to zmienić i przedstawiać, zwłaszcza w takich wątkach, problemy w sposób przystępny.

Wracając do wątku, żebyśmy się w drugą stronę zrozumieli - binarki to jest tylko jedna z tysiąca dziedzin. Podałem ją dla przykładu (dlatego napisałem "w szczególności") to nie jest jedyna "right way". Rozległa gałąź bezpieczeństwa. Znajduje się "najbliżej" hardware. Zrozumienie mechanizmów niskopoziomowych naprawdę pomaga - piszę to jako praktyk :)
Także może zanim rzucisz się na głębsze wody jak ROP, zacznij od napisania kilku prostych programików w assemblerze, dorwij dokumentację intela, poznaj budowę prostszych układów intela z lat 80. Działanie nie zmieniło się za bardzo, ale ogarnąć najnowsze układy będzie o wiele, wiele ciężej.

Pisałeś jeszcze o szkoleniach firmy N. - napiszę jeszcze raz. Nie wiem, nie byłem, nie jestem targetem tego jak i wielu innych szkoleń polskich marek bezpieczeństwa IT. Miałem kiedyś wgląd jako errata merytoryczna do takich szkoleń )nie w N). Na szczęście przejęli to koledzy, którzy są znacznie lepszymi pedagogami i umieją dostosować poziom do odbiorców.

Edit, dzisiaj z racji patch tuesday:
https://technet.microsoft.com/library/se...45121.aspx
Nie znajdziesz gotowych skryptów do tego. To jest prawdziwa i ciężka praca hakerów-geniuszy jak j00ru (on chyba ma monopol na cve u m$).
To co skasowałem to coś co pisałem pod wpływem emocji , sam byłem zmęczony po pracy w dodatku pisałem z rozwalonej lumi (bez mozliwości obrotu ekranu :D).. Ta wypowiedź nie miała sensu ,nic nie wnosiła . Spokojnie jesli czegoś nie rozumiem to uzywam google. :).

Assembler...

Widzę że nie ma jednej drogi ,ale zawsze się powtarza jedno .. Python/C++ teraz /Assembler .

Zostanę przy Pythonie ponieważ od niego zacząłem ,dokończę konsekwentnie książkę i zaatakuje assembler-a. Mam jeszcze do przerobienia 500 stron  Tcp/Ip sporo pracy przede mną . Sporo notatek . Sporo nerwów . To jednak ciężka droga ,a Ja najzwyczajniej na świecie nie podszedłem do tematu z większa pokora i szacunkiem.  Myślałem że jak przeczytam 3-4 książki będę mógł powiedzieć że w tym siedzę , a Ja nawet tej binraki nie wiedziałem jak zaatakować :P(btw. myślę że niebawem dostaniesz odp.)

Cały Lab jest gotowy mam Vistę ,Windows 7 i Linuxa . Na razie muszę o tym zapomnieć :)

Przerobiłem książki o Wardriwingu te gdzie był i backtrack i Kali (Mam nadzieję że ludzie nie nabiorą się na drugą książkę  .. miałem wrażenie że drugi tyuł powstał metodą "Kopiuj wklej"), książka "Kali linux przewodnik po testach" pomógł mi się zaznajomić z narzędziami w tym systemie. W Metasploit jedyne co było przydatne to wiedza jak  poruszać się po tym frameworku , "125 sposobów" myślę że jest warte uwagi, a I "nformatyka Śledcza" też nauczyła mnie kilku trików.

Czekam na moment ,aż iskierka się rozpali ..Mam na myśli taki moment kiedy cała wiedzę jaką zdobyłem zacznie dawać o sobie znać .
Droga jest wyboista i ciężka, ale daje olbrzymią satysfakcję :)

Co do języków i zostawania przy pythonie - nikt nie każe/doradza odchodzić od tego języka! C/C++ raczej Ciebie też nie ominie. Nauka programowania jest kluczowa. Nie musisz znać wszystkiego - masz dokumentację. Zapoznaj się z praktykami, standardami, obiektowością no i algorytmami. Dobrym krokiem milowym, na początek przygody z C/C++ będzie napisanie prostego snifera pakietów sieci Ethernet pod GNU/Linux w C. Zmieścisz się w 200 liniach kodu ze spokojem (z error handlingiem).

To nie jest działka dla każdego. Bywa nudno i frustrująco, ale udana eksploitacja i dużo technicznych smaczków w raporcie wynagradza walenie głową w biurko.
Cześć :) .
Tak tylko dopytam jeszcze. Generalnie widze że temat (nie wiem czy dobrze to ujmuję) zazębia się z inzynierią wsteczną ..:p
(Mam w zasobach książkę Coldwinda - Inzynieria wsteczna,ale to nie mój lvl ,na razie lezy :p).

Czy ,czy ,czy ... w przypadku testowania infrastruktury ,umiejętności z tej dziedziny moga być równie pomocne jak ,w testowaniu aplikacji ?

Mam mętlik w głowie i nie wiem już do czego usiąśc .. przed nosem mam book o TCP/IP, a na pasku e-book z programowaniem C++ oraz Pythonie :D..
(03-15-2017, 20:31)920806 napisał(a): [ -> ]Cześć :) .
Tak tylko dopytam jeszcze. Generalnie widze że temat (nie wiem czy dobrze to ujmuję) zazębia się z inzynierią wsteczną ..:p
(Mam w zasobach książkę Coldwinda - Inzynieria wsteczna,ale to nie mój lvl ,na razie lezy :p).

Czy ,czy ,czy ... w przypadku testowania infrastruktóry  ,umiejętności z tej dziedziny moga być równie pomocne jak ,w testowaniu aplikacji ?

Mam mętlik w głowie i nie wiem już do czego usiąśc .. przed nosem mam book o  TCP/IP, a  na pasku e-book z programowaniem C++ oraz Pythonie :D..

Książkę Gyna kończę właśnie. Genialna pozycja, początek jest dobry dla rookies, dalej ciekawy stuff. Ale osobiście nie polecałbym jej na sam początek przygody RE. Trzeba mieć background. 

Nie testowałem nigdy infrastruktóry, ale co do infrastruktury - tak. Jak pisałem i będę pisał dopóki będę w stanie używać klawiatury, lub security zmieni się diametralnie - to jest przekrojowa działka. Zahacza o każdą możliwą gałąź IT, trzeba myśleć niekonwencjonalnie. I tak, przy pentestach wykorzystuje się zdolności szukania luk, nigdy nie wiesz co za wersja softu i jak zmodyfikowana działa u klienta. Sam chyba nie mogę podać przykładu, bo zobowiązania, ale zdaje się na YT widziałem fajną prezentację, w której OP poruszył bardzo ciekawy workaround w swoim case study. Postaram się podrzucić.

Na spokojnie. Zacznij od programowania, mocny background znacznie ułatwi wszelkie działania. Cokolwiek robisz, rób to dobrze i do końca. Cierpliwość buduje wojownika. Ucząc się wszystkiego na raz, skończysz z niczym. Niestety nie jest kolorowo jak na filmach :)
Stron: 1 2