Miniguida all’uso di GHex.

GHex è un editor per file binari.

Permette di aprire un file e leggerlo in codice binario,ASCII,ecc.

ghex1.png

Ora apro un file di testo contenente alcuni indirizzi proxy.

File -> apri… e selezionare il file.

ghex2.png

Come potete vedere vi fornisce i vari tipi dal binario a sinistra,hexadecimale ed altro in basso.

Traduce i dati del file in binario,ecc.

Qui apro un file .exe di un programma,un’eseguibile che non si può aprire con successo con altri programmi.

ghexbruter.png

Anche qui fornisce i dati relativi,diciamo così tradotti.

Selezionando: vista -> raggruppa dati come -> …

Potete scegliere una delle opzioni di visualizzazione dei dati.

GHex dispone anche di una tabella caratteri.

Finestre -> character table

tabellacaratteri.png

Nel menù modifica trovate “modo inserimento ” che permette d’inserire e modificare il file.

Finisce qui questa miniguida sull’uso di GHex.

Annunci

Utilizzare vinetto per vedere ed estrarre file contenuti nei file thumbs.db

Vinetto è un tool per l’analisi forense.

È un programma da terminale per estrarre le immagini thumbnail e i loro metadata dai file thumbs.db generati in ambiente win.

Usato in contesto forense.

Le immagini thumbnail sono le miniature delle immagini,foto,ecc.

Dando da terminale:

vinetto Thumbs.db

Mostra il contenuto del file thumbs.db

vinetto senza parametri..png

vinetto -h

Permette di vedere l’help del programma.

vinetto help.png

 

vinetto -H -o /home/marb/ Thumbs.db

Mostra il contenuto del file thumbs.db,e lo estrae nella cartella indicata,dopo l’opzione -o.

In più crea un file index.html con i dettagli.

vinetto conparametri.png

 

Per leggere il manuale di vinetto dare da terminale man vinetto.

 

NOTA: potrebbe essere necessario spostarsi nella cartella contenente il file .db oppure aprire il terminale lì.

Questa guida è solo a scopo educativo.

 

Accenno all’uso di whatweb.

whatweb

Whatweb e’ un web scanner di nuova generazione.
la versione usata qui è la 0.4.8

Uso semplificato è: whatweb [opzione] <URL>

Scan semplice
whatweb example.com

whatwebsemplice

Uno scan semplice a localhost.
whatweb -v localhost example.com

whatwebverbose

Scan in modalità verbose. (meno informazioni)
whatweb -a 3 example.com

Scan aggressivo di example.com per determinare l’esatta versione di WordPress.

whatweb –no-errors -t 255 192.168.0.0/24

Scan della rete locale veloce con 255 threads e sopprime gli errori.

whatweb -l

whatwebplugin

Lista dei plug-in di whatweb.
Sono possibili molte altre combinazioni di comandi,per ottenere diversi risultati.
Ho mostrato gli esempi riportati dal programma stesso,e il comando per i plug-in.

Finisce qui….forse.

Bannare un IP sui sistemi GNU\Linux.

Bannare un IP su un sistema GNU\Linux.

Per bloccare IP fastidiosi che si collegano al server o desktop,con sistemi GNU\Linux installati,possiamo usare iptables.

Alcuni esempi sull’uso di iptables.

Per bloccare un IP da terminale:
iptables -A INPUT -s xx.xx.xx.xx -j DROP

dove al posto delle x metterete l’IP in formato numerico.
(es. 127.00.00.00)

bannIP

 

Per bloccare un l’IP con accesso ad una determinata porta.
iptables -A INPUT -s xx.xx.xx.xx -p tcp –destination-port 22 -j DROP

In questo caso mettere l’IP numerico al posto delle x, con p scegliete il protocollo tcp,e con destination-port la porta in questo caso è la 22.

Per vedere le regole create ed esistenti.
iptables -L

Per salvare le regole impostate.
sudo iptables save

Oppure:
/sbin/service iptables save

Per sbloccare un’indirizzo IP:
iptables -D INPUT -s xx.xx.xx.xx. -j DROP

 

debann

Ricordando di salvare.
NOTA: In genere questi comandi vanno eseguiti come root o con sudo.
Un’altro modo è inserire gli host,in forma domain.com o in forma numerica xxx.xx.xx.xx

Il file si chiama host.deny,e si trova in /etc/

Essendo un file di sistema è necessario essere root o usare sudo.

Per modificare il file.

Da terminale dare:
sudo nano /etc/host.deny

Fare modifiche che interessano e poi chiudere.

 

nanohostdeny

Oppure usare il proprio editor preferito.
Io preferisco gedit.

sudo gedit /etc/host.deny

 

gedithostdeny

 

Arrivederci. Alla prossima.

NOTA:il file host.deny che si vede qui è vuoto,per ragioni particolari.

 

 

Breve introduzione a Metagoofil,Knock,Wsorrow,TheHarvester.

Alcuni famosi tool per il web-test.

Piccole spiegazioni per l’uso.

TheHarvester

E’ un famoso tool per la ricerca sui domini.

TheHarvester

Comandi d’esempio e spiegazione.

./theharvester.py -d domain.com -l 500 -b google

-d :dominio in cui cerca il tool. (nella forma nome.com)

-l 500: limita il numero di risultati a 500.

-b google: usa per la ricerca google.

-f ./…/…/nomefile.xml : salva i risultati in un file xml o html

Molto brevemente.

 

Metagoofil

 

metagoofile

Tool per la ricerca e il download dei file da domini.

Comando d’esempio:

metagoofil.py -d domain.com -t doc,pdf -l 200 -n 50 -o domainfile -f results.html

-d domain.com: dominio in cui cerca.

-t doc,pdf: tipo di file che scaricherà.

-l 200: Limite ai risultati della ricerca.

-n 50: limite di file da scaricare.

-o domainfiles: Directory di lavoro.

-f results.html: File con i risultati.

 

Fine.

 

Knock

Knock

Scanning domini.

Esempi comandi:

knock domain.com: scan di domain.com

knock -dns domain.com

Scan del dominio con (-dns) dns risoluzione nomi dns.

knock -bw 404 domain.com

Scan del dominio,e bypass (-bw 404) degli errori 404.

Ed altro.

 

Web Sorrow (wsorrow)

wsorrow

 

Numero versione,enumerazione,configurazioni.

Esempi di comando:

perl Wsorrow.pl -host scanme.nmap.org -S

-host scanme…: host o dominio da scannerizzare.

-S: Standard check. (scan)

Altre opzioni:

-proxy 127.0.0.0:8080 : usa il proxy server al 127.0.0.0 e porta 8080.

-Eb : cerca negli errori delle pagine.

-auth:attacco dizionario per cercare pagine di login.

-cmsPlugins all:cerca plugin cms in questo caso tutti. (db,joomla,wordpress)

-I stringa: trova stringhe interessanti nella pagina web.

-Fd:cerca file e cartelle interessanti.

-Ws: cerca servizi web sul host.

-e: esegue tutti gli scan.

 

Ovviamente è possibile fare varie combinazioni di comandi per ottenere vari risultati.

Grazie per l’attenzione!

Alla prossima.

 

 

Uso di PDFiD. per avere informazioni sui file PDF.

PDFiD è un tool per testare file PDF.
Mostra informazioni sui file,Header,pagine,encrypt,javaScript,ecc.

pdfid

Pdfid si trova in Bugtraq 2,ma è possibile trovarlo anche in rete.

Si usa da terminale ed il comando in genere è: python pdfid.py [opzione] [file-pdf]

Vediamo alcune opzioni.

python pdfid.py -s /home/bugtraq/Documents
Esegue uno scan della directory scelta. (Documents nella home)

python pdfid.py -a /home/bugtraq/Documents/php/php.pdf
Fornisce informazioni sul file php.pdf.

python pdfid.py -e /home/bugtraq/Documents/php/php.pdf
Mostra informazioni sul file e le date,creazione,modifica.

pdfid-e

python pdfid.py -f /home/bugtraq/Documents/php/php.pdf
Forza lo scan del file,scelto.

python pdfid.py -d /home/bugtraq/Documents/php/php.pdf
Disarma javascript ed auto launch.(auto avvio,apertura).

Questo è quanto per PDFiD.

Alla prossima.

Link del progetto:pdfid

 

Recuperare informazioni da Firefox con Dumpzilla

Vi sarà capitato di voler recuperare le password e nomi utente da Firefox e derivati di esso.

Recupero informazioni da Firefox,con dumpzilla.

Dumpzilla è un tool scritto in python,che permette di estrarre informazioni dalla cartella di Firefox dove sono contenuti i backup,cronologia ed altro.

dumpzilla

Dumpzilla si trova in Bugtraq2 applicazioni -> bugtraq2 -> analisi forense -> logs.

Solitamente la cartella con i profili sta:
In Windov profile: ‘C:\Documents and Settings\xx\Application Data\Mozilla\Firefox\Profiles\xxxx.default’
In Unix o sistemi Linux profile: ‘/home/xx/.mozilla/seamonkey/xxxx.default/’

Ha varie opzioni ne vediamo qualcuna.

python dumpzilla.py /home/bugtraq/.mozilla/firefox/xxxxxxx.default –Passwords

Cercando passwords

dumpzillapass

Cercando cookies

python dumpzilla.py /home/bugtraq/.mozilla/firefox/xxxxxxxx.default –Cookies

 

dumpzillacookie

Cercando tutto.

python dumpzilla.py /home/bugtraq/.mozilla/firefox/xxxxxxx.default –All

Da questo comando si ottiene un output molto lungo,con molte informazioni,cookie,password,plugin,ecc.
non posso metterlo in un immagine,ovviamente.

dumpzillaall

Ha anche altre funzioni specifiche,e combinazioni.

Ma il bello è trovarle da soli.

Grazie per l’attenzione alla prossima.

Questa mini-guida è a scopo puramente istruttivo.

Con il tool in questione si possono fare cose illegali,uomo avvisato mezzo salvato!

Link utili:

Pagina del team di Bugtraq: Bugtraq Team

Pagina del progetto Dumpzilla: Dumpzilla

 

Breve introduzione ad apt-get.

Aggiornare il sistema usando apt,installare rimuovere software da terminale usando apt.

è possibile aggiornare o installare software sui sistemi basati su Debian,quindi Ubuntu,Trisquel,Backbox,ed altri.

Usando apt se non si vogliono usare gli strumenti appositi,o in caso essi non funzionino.

 

apt-get

Qualche esempio:

sudo apt-get update : Scarica l’elenco aggiornato dei pacchetti,quindi anche quelli da installare nuovi nel sistema.

sudo apt-get upgrade : Aggiorna i pacchetti installati.

TIPS: sudo apt-get update && sudo apt-get upgrade  : può essere il comando giusto per aggiornare il sistema.

sudo apt-get install nomeprogramma : installa il programma,che deve essere scritto a posto di nome programma.

sudo apt-get remove nomeprogramma : rimuove il programma,ma lascia i file di configurazione.

sudo apt-get remove purge nomeprogramma : rimuove il programma e i fle di configrazione.

sudo apt-get autoremove : rimuove i pacchetti non utilizzati.

apt-get source nomeprogramma : scarica i sorgenti del programma.

sudo apt-get dist-upgrade : esegue un avanzamento di distribuzione,cioè porta il sistema ad una versione successiva. es. da 12.04 a 12.10.

sudo apt-get autoclean : fà pulizia de vecchi pacchetti scaricati.

apt-get -h : mostra l’aiuto del software.

Da notare che dovendo interagire sul sistema,serve avere i permessi di root,usando il comando sudo.
In casi come Debian,Kalilinux,Backtrack,solitamente si è loggati come root e non serve usare sudo.

Esempi:

Si vuole installare gedit che è un notepad per linux,il comando sarà:

sudo apt-get install gedit

Si vuole aggiornare il sistema:

sudo apt-get upgrade

è consigliabile aggiornare il sistema con più comandi:

sudo apt-get update

sudo apt-get upgrade.

 

 

 

Utilizzo dei file Bash.

Ci si può ritrovare con file con estensione .sh o .bash questi file sono script bash.

Gli script più semplici,sono un elenco di comandi di sistema,utili spesso per eseguire operazioni ripetitive.

La shell bash è presente nei sistemi UNIX,e GNU\Linux,e permette di fare semplici programmi,script per routine,o programmi più complessi.

Un esempio di script sh ( o bash).

#!/bin/bash

# Presentazione bash.

# Presenta.sh

 echo “Questo è uno script Bash.”

echo

echo “Per dare i permessi per far  funzionare lo script, si usa il  comando da terminale:”

echo “chmod 555 nomefilescript”

echo

echo “oppure tasto destro del muose e scheda permessi.”

echo

echo “Per utilizzare lo script:”

echo “./nomefilescript”

echo

echo “Oppure tasto destro del mouse esegui.”

echo

echo “NOTA:nomefilescript è il nome del file che create per l’occasione,in questo caso presenta.sh.”

echo

echo “CIAO!”

 

exit 0

 

I file bash in genere devono essere salvati con estensione .sh o .bash

Per dare i permessi al file in modo che possa funzionare si usa il comando da terminale, chmod 555 nomefile.

NOTA:il terminale deve essere nella cartella dove si trova il file,nel caso spostarsi con cd /cartella….

chmod

 

Per eseguire lo script si usa il comando da terminale: ./nomefile,

Dopo i comandi dare Invio o Enter.

usoecartella

Il risultato dello script che è scritto sù è questo.

 

eseguito

 

Grazie per l’attenzione,Ciao.

 

Per lo scripting bash cercare: Advanced Bash-Scripting Guide.

Per i comandi in GNU\Linux cercare: Appunti d’informatica libera.

 

Dizio

bash = shell e linguaggio di programmazione.

shell = terminale per utilizzare comandi di sistema o un determinato linguaggio di programmazione.

estensione = la parte alla fine del nome del file che indica alla macchina di cosa si tratta. es. .sh,.mp3,.wav.

cd = programma in UNIX e GNU\Linux per spostarsi tra le cartelle.

permessi = Sotto UNIX e GNU\Linux c’è un sistema di permessi dei file per ragioni di affidabilità e sicurezza.

Briciole di netstat.

Netstat Stampa informazioni provenienti dal Linux networking subsystem.
Il tipo d’informazioni stampato su schermo è controllato dal primo argomento. (dato dopo netstat da un terminale appunto).

Di default, mostra la lista sockets aperti.
Se non si specifica una famiglia d’indirizzi precisa.

Per saperne di più, digitare da terminale man netstat.

Dando netstat -h
Avrete l’aiuto di netstat e spiegazione delle opzioni.

netstat-h

 

Adesso proviamo alcune combinazioni,delle tante possibili.

netstat -r
Mostra la tabella di routing IP del kernel.
Qui trovate l’indirizzo del modem/router,ed altri.

netstat-r

Con netstat -i
Avrete la tabella delle interfaccie del kernel,lan,wifi,ecc.
E dati relativi.

netstat-i

netstat -g
Mostra l’appartenenza ai gruppi multicast.

netstat-g

netstat -s
Mostra le statistiche per i vari protocolli. (IP,Icmp,TCP,ecc.)

netstat-s

netstat -p
Mostra i processi ed informazioni,si ottiene molto di più usandolo con sudo,o come super-user.

netstat-p

 

Ovviamente si possono utilizzare combinazioni,per esempio: netstat -apn
Dipende cosa vi serve sapere.

Questa mini-guida è stata scritta e provata su Trisquel 7.
Ma netstat è presente in molti sistemi,perfino su androide.
Spero vi sia utile,Alla prossima.