-->

whaust

2020年12月26日 星期六

SPARTA - Penatration Test Tool

SPARTA概述

可以將SPARTA視為基於GUI的工具,它提供了簡化的界面以及跨多個不同工具的抽象和自動化層。SPARTA通過連接在安全測試各個階段中使用的多個工具來填補空白。它通過自動進行端口掃描,目錄爬網和其他各種偵察活動來工作。組合各種工具的輸出可能是一個非常手動和艱鉅的過程。Sparta通過基於GUI的易於使用的設計簡化了此過程,從而簡化了安全測試人員的任務。


這個基於Python的GUI應用程序(由Antonio Quina和Leonidas Stavliotis編寫)(當前版本為v1.0.4 BETA)使用Nikto,Nmap,Telnet,DirBuster和Netcat等工具自動進行掃描,信息收集和漏洞評估。它還允許輕鬆轉換為各種連接和測試工具,甚至允許進行應用程序內暴力測試。安全研究人員和內部安全團隊可以使用此工具來有效地測試或驗證組織內的安全控制。從白帽的角度來看,有效的枚舉是成功測試的關鍵。該實驗室通過各種活動概述了該工具以及如何使用它進行評估或安全測試。


 SPARTA和實驗室中使用的工具

對於那些不熟悉Kali Linux或SPARTA內使用的工具的人,以下是每種工具及其用途的簡要說明。


Nmap –一種開源工具,用於通過分析從該工具發送的請求返回的響應來發現在給定計算機網絡上運行的端點和服務。

Nikto –一種開源工具,可掃描Web服務器以查找常見漏洞,例如危險文件,過時的服務器版本和其他問題。

Hydra –一種開源軟件,它使用多種方法來破解密碼,例如單詞列表或蠻力攻擊。Hydra驅動SPARTA的“ Brute”選項卡。

DirBuster – Java內置的開源工具,用於對Web和應用程序服務器上的目錄和文件名進行強行強制。

其他各種– SPARTA連接到多個基於應用程序和基於連接的工具,例如SSH,Telnet和Netcat(用於聯網和訪問),並且可以將信息通過管道傳遞到幾個基於命令行的工具中,例如數據庫工具和其他各種工具。訪問遠程數據,例如SQL或NFS(在本實驗中使用)。

2020年12月22日 星期二

SolarWinds related Malware Indicators of Compromise (IOCs)

SHA256 : 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134

SHA1   : 2f1a5a7411d015d01aaee4535835400191645023

NAME   : Backdoor.MSIL.SUNBURST.X


SHA256 : c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71

SHA1   : 75af292f34789a1c782ea36c7127bf6106f595e8

NAME   : Trojan.MSIL.SUPERNOVA.X


SHA256 : ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6

SHA1   : d130bd75645c2433f88ac03e73395fba172ef676

NAME   : Backdoor.MSIL.SUNBURST.X


SHA256 : 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77

SHA1   : 76640508b1e7759e548771a5359eaed353bf1eec

NAME   : Backdoor.MSIL.SUNBURST.X


SHA256 : d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600

SHA1   : 1b476f58ca366b54f34d714ffce3fd73cc30db1a

NAME   : Backdoor.MSIL.SUNBURST.X


SHA256 : abe22cf0d78836c3ea072daeaf4c5eeaf9c29b6feb597741651979fc8fbd2417

SHA1   : b485953ed77caefe81bff0d9b349a33c5cea4cde

NAME   : Backdoor.MSIL.SUNBURST.X

2020年11月28日 星期六

PaloAlto Strata Little Quiz

 Question 1 of 10

Which type of cyberattack sends extremely high volumes of network traffic such as packets, data, or transactions that render the victim’s network unavailable or unusable? 


(V) distributed denial-of-service (DDoS)


phishing botnet


denial-of-service (DoS)


spamming botnet


Question 2 of 10

Which tactic, technique, or procedure (TTP) masks application traffic over port 443 (HTTPS)?  


hopping ports


using non-standard ports


(V) hiding within SSL encryption


tunneling


Question 3 of 10

Which specific technology is associated with Web 3.0? 


instant messaging


(V) blockchain


remote meeting software


social networks


Question 4 of 10

Which type of advanced malware has entire sections of code that serve no purpose other than to change the signature of the malware, thus producing an infinite number of signature hashes for even the smallest of malware programs? 


obfuscation


distributed


multi-functional


(V) polymorphism


Question 5 of 10

Which core component of Cortex combines security orchestration, incident management, and interactive investigation to serve security teams across the incident lifecycle?


Cortex XDR


(V) Cortex XSOAR


Cortex Data Lake


AutoFocus


Question 6 of 10

Which malware type is installed in the BIOS of a machine, which means operating system level tools cannot detect it? 


spyware


(V) rootkit


logic bomb


ransomware


Question 7 of 10

Which Zero Trust capability provides a combination of anti-malware and intrusion prevention technologies to protect against both known and unknown threats, including mobile device threats? 


inspection of all traffic


least privilege


secure access


(V) cyberthreat protection


Question 8 of 10

Which Wi-Fi attack leverages device information about which wireless networks it previously connected to?


(V) Jasager


evil twin


SSLstrip


man-in-the-middle


Question 9 of 10

Which type of phishing attack is specifically directed at senior executives or other high-profile targets within an organization? 


spear phishing


(V) whaling


watering hole


pharming


Question 10 of 10

Which wireless security protocol includes improved security for IoT devices, smart bulbs, wireless appliances, and smart speakers? 


WEP


WPA2


(V) WPA3


WPA1


2020年11月26日 星期四

DHCP DORA Process


下圖說明了在DHCP客戶端從DHCP服務器獲取IP地址信息時發生的消息交換(發現,提供,請求,確認[DORA]進程)。

Source : Wiki


  •  步驟1. DHCP客戶端最初啟動時,它沒有IP地址,默認網關或其他配置信息。因此,DHCP客戶端最初進行通信的方式是通過向目標IP 255.255.255.255和目標MAC FFFF:FFFF:FFFF發送廣播DHCPDISCOVER消息來嘗試發現DHCP服務器。源IP為0.0.0.0,源MAC為發送設備的MAC地址。

  • 步驟2.當DHCP服務器收到DHCPDISCOVER消息時,它可以使用DHCPOFFER消息進行響應,該消息帶有未釋放的IP地址,子網掩碼和默認網關信息。因為DHCPDISCOVER消息是作為廣播發送的,所以可能有多個DHCP服務器以DHCPOFFER進行響應。客戶端通常選擇發送它收到的第一個DHCPOFFER響應的服務器。

  • 步驟3. DHCP客戶端通過發送廣播的DHCPREQUEST消息與選定的服務器進行通信,該消息指示它將使用DHCPOFFER中提供的地址,因此希望將相關的地址租借給自己。

  • 步驟4.最後,DHCP服務器以DHCPACK消息響應客戶端,該消息指示IP地址已租給客戶端,並且包括此時可能需要的任何其他DHCP選項,例如租期。

2020年11月22日 星期日

什麼是OSPF鏈路狀態公告 (What is OSPF Link-State Announcements)

        當OSPF鄰居相鄰時,LSDB將在OSPF路由器之間進行同步。 當OSPF路由器在其數據庫中添加直接連接的網絡鏈接或從數據庫中刪除直接連接的網絡鏈接時,路由器會將鏈接狀態通告(LSA)泛洪到所有活動的OSPF接口中。 OSPF LSA包含從該路由器發布的網絡的完整列表。

OSPF使用六種LSA類型進行IPv4路由:

■類型1,路由器LSA:通告起源於區域內的LSA

■類型2,網絡LSA:播發附加到DR的多路訪問網段

■類型3,摘要LSA:通告源自不同區域的網絡前綴

■類型4,ASBR摘要LSA:發布特定ASBR的摘要LSA。

■類型5,AS外部LSA:為已重新分配的路由發布LSA。

■類型7,NSSA外部LSA:在NSSA中發布重新分發的路由 


LSA類型1、2和3,用於為區域內和區域間路由構建SPF樹

2020年11月19日 星期四

What is NAS Security & AS Security in LTE ?

 NAS安全

NAS安全性旨在通過無線電鏈路在UE和MME之間安全地傳送信令消息,它執行NAS信令消息的完整性檢查(即完整性保護/驗證)和加密。不同的密鑰用於完整性檢查和加密。完整性檢查是一項強制功能,而加密是一項可選功能。 NAS安全密鑰(例如,完整性密鑰(KNASint)和加密密鑰(KNASenc))由KASME的UE和MME派生。


AS安全

AS安全性旨在確保通過無線電鏈路在UE和eNB之間安全地傳遞數據。它在控制平面中執行完整性檢查和RRC信令消息的加密,僅在用戶平面中進行IP數據包的加密。不同的密鑰用於RRC信令消息的完整性檢查/加密以及IP數據包的加密。完整性檢查是強制性的,但加密是可選的。

UE和eNB從KeNB導出AS安全密鑰,例如KRRCint,KRRCenc和KUPenc。 KRRCint和KRRCenc用於完整性檢查和控制平面數據(即RRC信令消息)的加密,而KUPenc用於用戶平面數據(即IP數據包)的加密。完整性檢查和加密在PDCP(數據包數據融合協議)層執行。

UE可以從KASME導出KeNB。但是,由於未將KASME傳輸到eNB,因此MME會從KASME生成KeNB並將其轉發到eNB。

Cisco CCNA命令大全

 

登錄網路設備,USB-COM-COM-RJ45,超級終端/SecureCRT

Would you like to enter the initial configuration dialog? [yes/no]: //回答no,如果回答了yes,會出現大量對話,Ctrl+C中斷對話
% Please answer 'yes' or 'no'.
Router> //使用者模式,只能簡單的showping/tracer
Router>enable //從使用者模式進入特權模式
Router# //特權模式,能夠進行所有的showping/tracer
Router#configure terminal//從特權模式進入全域配置模式
Router(config)# //全域配置模式,可以進行相關配置
Router(config)#hostname R1//給設備命名
R1#show version //查看設備軟硬體版本資訊,開機時間,記憶體和Flash大小,模組等
R1#show ip interface brief //查看介面資訊
R1#show running-config //查看運行在記憶體中的當前配置
R1#show startup-config //查看開機配置,保存在NVRAM
R1#copy running-config startup-config //將當前運行配置保存到開機配置中
R1#show tech-support //查看設備所有軟硬體的詳細資訊
R1(config)#enable password xxx//配置enable密碼,該密碼show run可見
R1(config)#enable secret xxx //配置enable密碼,該密碼show run不可見,兩個同時配置時,secret密碼生效
R1(config)#line vty 0 4 //進入telnet配置模式
R1(config-line)#login //telnet登陸需要密碼驗證
R1(config-line)#password xxx //配置telnet密碼
R1(config-line)#exit
R1(config)#line vty 0 4 
R1(config-line)#no login //telnet登陸不需要驗證
R1(config-line)#exit 
R1(config)#line vty 0 4
R1(config-line)#login local//telnet登陸需要在本地資料庫查找用戶名密碼進行驗證
R1(config-line)#exit
R1(config)#username spoto password xxx //創建本地用戶名密碼
R1(config)#banner ^!!!!R1!!!!!^ //配置設備登陸提示符,頭尾符號需要一致,中間為提示符內容
R1(config)#line vty 0 4
R1(config-line)#privilege level 15//配置telnet使用者特權等級為15,即登陸後直接進入enable模式
R1(config-line)#exit 
R1(config)#interface fastEthernet x/x //進入介面配置模式
R1(config-if)#ip address x.x.x.x x.x.x.x //配置IP及遮罩
R1(config-if)#no shutdown //打開介面,路由器介面預設處於管理性關閉狀態
R1(config-if)#exit //退出介面配置模式,返回全域配置模式
R1(config)#no ip routing //關閉路由功能,將路由器模擬成PC
R1(config)#ip default-gateway x.x.x.x //配置閘道位址
R1#show ip route //查看關閉路由功能後的閘道配置
R1#show cdp neighbors //查看思科互連設備資訊
R1(config)#interface loopback 0 //創建環回介面0,用於類比網段和測試
R1(config-if)#ip address x.x.x.x x.x.x.x//配置環回介面IP及遮罩,環回介面不需要no shutdown
R1(config-if)#exit
R1(config)#ip route x.x.x.x x.x.x.x x.x.x.x //配置使用下一跳位址的靜態路由
R1(config)#ip route x.x.x.x x.x.x.x fastEthernet x/x //配置使用本地出介面的靜態路由
R1(config)#ip route 0.0.0.0 0.0.0.0 x.x.x.x //配置使用下一跳位址的默認路由
R1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet x/x //配置使用本地出介面的預設路由
R1#show ip route //查看路由表
R1#ping x.x.x.x //使用出介面作為源IP的普通ping
R1#ping x.x.x.x source x.x.x.x //使用指定源位址的擴展ping
R1#debug ip icmp //打開ping的調試過程顯示
R1#undebug ip icmp //關閉ping的調試過程顯示
R1#traceroute x.x.x.x //路徑跟蹤,查看到達目的地所經過的IP
R1(config)#router rip //運行RIP協定,進入RIP協定配置模式
R1(config-router)#version 2 //配置RIP為版本2
R1(config-router)#no auto-summary//關閉自動匯總功能
R1(config-router)#network x.x.x.x //將相關網段發佈到RIP進程中,所有相關子網都會被發佈,命令配置不支援帶遮罩
R1(config-router)#exit //退出RIP協定配置模式
R1(config)#router eigrp x //運行EIGRP,配置EIGRP AS號碼,相鄰設備的AS號碼要求一致
R1(config-router)#no auto-summary//關閉自動匯總功能
R1(config-router)#network x.x.x.x //將相關網段發佈到EIGRP進程中,所有相關子網都會被發佈
R1(config-router)#network x.x.x.x x.x.x.x //將相關網段精確發佈到EIGRP進程中,命令配置支援帶反遮罩
R1(config-router)#exit //退出EIGRP協定配置模式
R1#show ip eigrp neighbors//查看EIGRP鄰居表
R1#show ip eigrp topology //查看EIGRP拓撲表
R1(config)#router ospf x //運行OSPF,配置OSPF本地進程號,該號碼僅有本地意義
R1(config-router)#network x.x.x.x x.x.x.x area x //相關網段精確發佈到OSPF區域中,命令配置要求帶反遮罩,相鄰設備區域號要相同
R1(config-router)#auto-cost reference-bandwidth x //修改參考頻寬,單位是兆
R1(config-router)#exit //退出OSPF協定配置模式
R1#show ip ospf neighbor //查看OSPF鄰居表
R1#show ip ospf database //查看OSPF拓撲表
R1#show ip ospf interface //查看OSPF介面狀態資訊,包括RID、網路類型、hello時間等
C3640上載入NM-16ESW模組來對比交換機。如果是類比2層交換機,需要關閉路由功能。
Switch#vlan database //進入VLAN資料庫模式
Switch(vlan)#vlan x //創建VLAN,刪除時前面加no
Switch(vlan)#exit
Switch#show vlan-switch //查看VLAN表及所屬埠,真實設備或IOU模擬器上的命令為show vlan
Switch#show vtp status //查看VTP資訊,包括功能變數名稱、版本、模式等
Switch(config)#int fastEthernet x/x
Switch(config-if)#switchport mode access //配置埠模式為access
Switch(config-if)#switchport access vlan 10 //將該埠劃入VLAN10,默認所有埠屬於VLAN1
Switch(config-if)#exit
Switch(config)#int fastEthernet x/x //進入單臂路由主介面
Switch(config-if)#switchport trunk encapsulation dot1q //指定trunk封裝使用802.1Q,當交換機支援802.1QISL時使用
Switch(config-if)#switchport mode trunk //配置埠模式為trunk
Switch(config-if)#exit
Switch#show interfaces trunk //查看交換機trunk介面資訊及狀態
Switch(config)#interface vlan x //進入管理IP所在的介面
Switch(config-if)#ip address x.x.x.x x.x.x.x //配置交換機的管理IP
Switch(config-if)#exit
Switch(config)#ip default-gateway x.x.x.x //配置交換機的閘道位址,實現跨網段遠端系統管理
R1(config)#interface fastEthernet x/x
R1(config-if)#no shutdown //單臂路由配置,只需要主介面開啟,子介面會自動繼承開啟
R1(config-if)#exit
R1(config)#interface fastEthernet x/x.x //進入子介面配置模式
R1(config-subif)#encapsulation dot1Q x //配置封裝為802.1Q,並指定該子介面所對應的VLAN
R1(config-subif)#ip address x.x.x.x x.x.x.x //配置該VLAN的閘道位址
R1(config-subif)#exit
R1(config)#access-list x permit x.x.x.x //允許來自某台主機的流量
R1(config)#access-list x permit x.x.x.x x.x.x.x //允許來自某個網段的流量
R1(config)#access-list x deny any //標準ACL的默認操作是拒絕所有流量
R1(config)#interface fastEthernet x/x 
R1(config-if)#ip access-group x in //CAL應用在介面的入方向
R1(config-if)#ip access-group x out //ACL應用在介面的出方向
R1(config-if)#exit
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in //telnet遠端控制,有在ACL中被允許的主機能遠端telnet到本機。
R1(config-line)#exit
R1(config)#access-list 100 permit ip x.x.x.x x.x.x.x x.x.x.x x.x.x.x //允許某個網段到某個網段的流量通過
R1(config)#access-list 100 permit ip host x.x.x.x host x.x.x.x //允許某台主機到某台主機的流量通過
R1(config)#access-list 100 permit ip any any //允許任何IP流量通過
R1(config)#access-list 100 permit tcp any any eq x //允許某種TCP流量通過
R1(config)#access-list 100 permit udp any any eq x //允許某種UDP流量通過
R1(config)#access-list 100 permit icmp any any //允許ping包通過
R1(config)#access-list 100 deny ip any any //擴展ACL的默認操作是拒絕所有流量
R1#show access-lists //查看ACL內容及匹配情況
R1(config)#interface fastEthernet x/x
R1(config-if)#ip nat inside //指定介面為NATinside
R1(config)#interface fastEthernet x/x
R1(config-if)#ip nat outside //指定介面為NAToutside
R1(config)#ip nat inside source list 1 interface fastEthernet x/x overload//配置基於出介面的PAT
R1(config)#access-list 1 permit any //允許任何IP作為NAT的源位址
R1(config)#ip nat inside source static x.x.x.x x.x.x.x //配置靜態NAT
R1(config)#ip nat pool spoto x.x.x.x x.x.x.x netmask 255.255.255.0 //配置NAT的位址集區
R1(config)#ip nat inside source list 1 pool spoto overload //配置基於位址集區的PAT
R1(config)#ip nat inside source static tcp x.x.x.x x interface FastEthernetx/x x //配置靜態埠映射
R1#show ip nat translations //查看NAT轉換表
R1#clear ip nat translation * //清除NAT轉換表,靜態條目不會被刪除
R1-S/C(config)#int serial x/x
R1-S/C(config-if)#clock rate 64000
R1-S/C(config-if)#encapsulation ppp //將介面封裝從預設的HDLC改為PPP封裝
PAP認證配置,認證伺服器端:
R1-S(config)#username xxx password xxx //在認證伺服器端配置本地用戶名密碼
R1-S(config-if)#ppp authentication pap //在認證伺服器端開啟pap認證要求
PAP認證配置,認證用戶端:
R1-C(config-if)#ppp pap sent-username xxx password xxx //在認證用戶端配置pap發送的用戶名和密碼
CHAP認證配置,認證伺服器端:
R1-S(config)#username xxx password xxx //在認證伺服器端配置本地用戶名密碼
R1-S(config-if)#ppp authentication chap //在認證伺服器端開啟chap認證要求
CHAP認證配置,認證用戶端:
R1-C(config-if)#ppp chap hostname xxx //在認證用戶端配置chap發送的用戶名
R1-C(config-if)#ppp chap password xxx //在認證用戶端配置chap發送的密碼
FRSW(config)#frame-relay switching //將路由器類比成框架轉送交換機
FRSW(config)#int serial x/x
FRSW(config-if)#clock rate 64000
FRSW(config-if)#encapsulation frame-relay //將介面封裝從預設的HDLC改為框架轉送封裝
FRSW(config-if)#frame-relay intf-type dce //指定框架轉送交換機介面類別型為DCE
FRSW(config-if)#frame-relay route xxx interface serial x/x xxx //配置框架轉送交換路徑
FRSW(config-if)#exit
FRR(config)#int serial x/x
FRR(config-if)#encapsulation frame-relay //配置框架轉送路由器介面封裝從預設的HDLC改為FR
FRR(config-if)#ip address x.x.x.x x.x.x.x
FRR(config-if)#frame-relay map ip x.x.x.x x broadcast//靜態配置IPDLCI的映射關係,指定對端IP及本端使用的DLCI
FRR(config-if)#exit
FRR#show frame-relay map //查看框架轉送映射表
FRR(config)#int serial x/x
FRR(config-if)#ip ospf network point-to-multipoint //框架轉送下OSPF預設模式是NBMA,無法自動建立鄰居。手動修改網路類型為PTMPPTP
FRR(config-if)#exit

CCNA關鍵知識:
網路模型、IP&VLSM
靜態路由&預設路由
動態路由RIPv2EIGRPOSPF
VLANAccessTrunkVTPSTP、單臂路由、2層交換機遠端系統管理
ACLNAT
WANPPP
IPv6WLAN


Popular