Пример настройки Dante
1) установить dante 1.4.2 (есть в репосах debian10)
2) создать пользователя и установить пароль:
3) поправить конфиг под ваши нужды. Здесь также можно указать ваши внутренние подсети, куда запретить проксировать.
з.ы. для версии <1.4.2 заменить socksmethod на method
4) systemctl enable danted && systemctl restart danted
5) опционально не забудьте открыть на input порт 1080
6) сформировать ссылку, по которой настроим телеграм:
https://t.me/socks?server=example.com&port=9999&user=username&pass=password
Данте, к сожалению, ведет себя как кусок говна - он не пишет нормальных логов, догадывайтесь как хотите что же не так. При использовании
Да, кстати. Учтите, что пароль до сокс передается в открытом виде. Б - безопасность! АХАХАХАХ!
Всех с пятницей, 13-е.
1) установить dante 1.4.2 (есть в репосах debian10)
2) создать пользователя и установить пароль:
useradd -s /bin/nologin telegram
passwd telegram
3) поправить конфиг под ваши нужды. Здесь также можно указать ваши внутренние подсети, куда запретить проксировать.
logoutput: syslog stdout /var/log/sockd.log
internal: x.x.x.x port = 1080
external: x.x.x.x
socksmethod: username
user.privileged: root
user.unprivileged: nobody
user.libwrap: nobody
client pass
{
from: 0.0.0.0/0 to: 0.0.0.0/0
log: error
}
client block {
from: 0.0.0.0/0 to: 127.0.0.0/8
log: connect error
}
socks pass
{
from: 0.0.0.0/0 to: 0.0.0.0/0
command: connect
log: error
socksmethod: username
}
з.ы. для версии <1.4.2 заменить socksmethod на method
4) systemctl enable danted && systemctl restart danted
5) опционально не забудьте открыть на input порт 1080
6) сформировать ссылку, по которой настроим телеграм:
https://t.me/socks?server=example.com&port=9999&user=username&pass=password
Данте, к сожалению, ведет себя как кусок говна - он не пишет нормальных логов, догадывайтесь как хотите что же не так. При использовании
socksmethod: username требует доступ до /etc/shadow. Но даже если дать непривилигированному пользователю этот доступ, все равно он пытается запускать некоторые методы, требующие повышенных привилегий. В попытке это обойти в частности я правил путь к pid-файлу в unit-файле, но на этом дело не закончилось. Дальше воевать было лень и оставил как есть.Да, кстати. Учтите, что пароль до сокс передается в открытом виде. Б - безопасность! АХАХАХАХ!
Всех с пятницей, 13-е.
Подсети telegram
От господина vos'a еще для вас список подсетей Telegram для белых списков:
или посмотреть ручками:
https://bgp.he.net/search?search%5Bsearch%5D=%22telegram+messenger%22&commit=Search
От господина vos'a еще для вас список подсетей Telegram для белых списков:
149.154.160.0/20
149.154.164.0/22
149.154.168.0/22
149.154.172.0/22
91.108.4.0/22
91.108.8.0/22
91.108.12.0/22
91.108.16.0/22
91.108.56.0/22
109.239.140.0/24
или посмотреть ручками:
https://bgp.he.net/search?search%5Bsearch%5D=%22telegram+messenger%22&commit=Search
Конфиг 3proxy:
setgid 114
setuid 110
nserver 8.8.8.8
nserver 8.8.4.4
#daemon
maxconn 10000
log /opt/3proxy/log/3proxy.log D
logformat "L%d-%m-%Y %H:%M:%S %z %N.%p %E %U %C:%c %R:%r %O %I"
monitor /opt/3proxy/etc/passwd
users $/opt/3proxy/etc/passwd
rotate 180
#allow <userlist> <sourcelist> <targetlist> <targetportlist> <operationlist> <weekdayslist> <timeperiodslist>
#deny <userlist> <sourcelist> <targetlist> <targetportlist> <operationlist> <weekdayslist> <timeperiodslist>
allow * * 149.154.160.0/20 443 CONNECT * *
allow * * 91.108.4.0/22 443 CONNECT * *
allow * * 91.108.56.0/22 443 CONNECT * *
allow * * 91.108.8.0/22 443 CONNECT * *
deny * * * * * * *
auth strong
socks
Вопрос: я зашел по ssh на некий сервер, допустим, с рутовыми правами. Посмотрел, что кроме меня подключены еще, допустим, 5 пользователей. Как я могу получить их открытые ключи в привязке к сессиям?
#ssh
Ответ на картинке ниже:
#ssh
Ответ на картинке ниже:
Будьте осторожны при обновлении k8s с 1.9.6 до 1.10.1. Начните с чтения треда: https://github.com/kubernetes/kubernetes/issues/61764
лично у меня кластер по пизде пошел.
лично у меня кластер по пизде пошел.
GitHub
kubeadm upgrade from 1.9.6 to 1.10.0: converting v1.ConfigMap to v1alpha1.MasterConfiguration: API not present in src #61764
Is this a BUG REPORT or FEATURE REQUEST?: Uncomment only one, leave it on its own line: /kind bug /kind feature What happened: Upgrading from 1.9.6 to 1.10.0 using kubeadm an error is thrown: [...
Forwarded from Spark in me (Alexander)
YouTube
This Fools Your Vision | Two Minute Papers #241
The paper "Adversarial Examples that Fool both Human and Computer Vision" is available here:
https://arxiv.org/abs/1802.08195
Our Patreon page with the details: https://www.patreon.com/TwoMinutePapers
We would like to thank our generous Patreon supporters…
https://arxiv.org/abs/1802.08195
Our Patreon page with the details: https://www.patreon.com/TwoMinutePapers
We would like to thank our generous Patreon supporters…
non-routable addresses (RFC 3330)
Список подсетей, которые не маршрутизируются в интернетиках.
#networking
'0.0.0.0', '255.0.0.0'
'10.0.0.0', '255.0.0.0'
'127.0.0.0', '255.0.0.0'
'169.254.0.0', '255.255.0.0'
'172.16.0.0', '255.240.0.0'
'192.0.2.0', '255.255.255.0'
'192.88.99.0', '255.255.255.0'
'192.168.0.0', '255.255.0.0'
'198.18.0.0', '255.254.0.0'
'224.0.0.0', '240.0.0.0'
'240.0.0.0', '240.0.0.0'
'100.64.0.0', '255.192.0.0'
Список подсетей, которые не маршрутизируются в интернетиках.
#networking
Proxy Auto Configuration
UPD: добавил пропущенные закрывающие кавычки, спасибо за внимательность.
#pac #proxy #browser
function FindProxyForURL(url, host)
{
if (
shExpMatch(url, "desktop.telegram.org/*") ||
shExpMatch(url, "pluto-1.web.telegram.org/*") ||
shExpMatch(url, "t.me/*") ||
shExpMatch(url, "tdesktop.com/*") ||
shExpMatch(url, "tdesktop.info/*") ||
shExpMatch(url, "tdesktop.net/*") ||
shExpMatch(url, "tdesktop.org/*") ||
shExpMatch(url, "telegram.dog/*") ||
shExpMatch(url, "telegram.me/*") ||
shExpMatch(url, "telegram.org/*") ||
shExpMatch(url, "telesco.pe/*") ||
shExpMatch(url, "telegram.me/*") ||
shExpMatch(url, "telegram.org/*") ||
shExpMatch(url, "telesco.pe/*") ||
shExpMatch(url, "venus.web.telegram.org/*") ||
shExpMatch(url, "web.telegram.org/*")
)
{
return "SOCKS5 x.x.x.x:1080";
}
if (
isInNet(hostIP, '149.154.160.0' ' 255.255.240.0') ||
isInNet(hostIP, '149.154.164.0' '255.255.252.0') ||
isInNet(hostIP, '149.154.167.0' '255.255.252.0') ||
isInNet(hostIP, '149.154.168.0' '255.255.252.0') ||
isInNet(hostIP, '149.154.172.0' '255.255.252.0') ||
isInNet(hostIP, '91.108.4.0' '255.255.252.0') ||
isInNet(hostIP, '91.108.8.0' '255.255.252.0') ||
isInNet(hostIP, '91.108.12.0' '255.255.252.0') ||
isInNet(hostIP, '91.108.16.0' '255.255.252.0') ||
isInNet(hostIP, '91.108.56.0' '255.255.252.0') ||
isInNet(hostIP, '109.239.140.0' '255.255.255.0')
)
{
return "SOCKS5 x.x.x.x:1080";
}
return "DIRECT";
}
UPD: добавил пропущенные закрывающие кавычки, спасибо за внимательность.
#pac #proxy #browser
Forwarded from Новости SPbCTF (Kseniya Kravtsova)
🎒 Школьникам, родителям и тем, у кого есть знакомые школьники 🎓
Этим летом наставники SPbCTF будут преподавать спортивный хакинг и безопасность в школе UniverSum в Мюнхене. Это летний IT-лагерь, который создали основатели ЛКШ — компьютерной школы, куда каждый год съезжаются сотни учеников практиковаться в алгоритмах.
📖 Нас покорил подход Универсума к обучению. В школе нет лекций. Участники сами выбирают, в какой теме они хотят прокачаться сегодня, и вместе с преподавателем каждый день корректируют собственный план обучения. Преподаватель выступает экспертом, который передаёт знания и опыт, направляет и помогает разобраться в трудных моментах.
🌳 Чтобы планировать обучение, в школе используют дерево знаний — путь, которым стоит идти чтобы охватить определенную тему. Например, вот в каком порядке мы предлагаем учиться безопасности: http://www.univer-sum.ru/2018-graph/#ctf
Ученик отмечает на этой схеме, что он уже умеет, и на занятиях развивает следующий по порядку навык, работая индивидуально вместе с преподавателем.
🔒 Направление безопасности возглавят Саша @n0str , Влад @mrvos и Егор @groke. Они помогут разобраться в веб-уязвимостях, ревёрсе и анализе вирусов, форенсике и криминалистике, криптографии и стеганографии. Безопасности мы учим на основе CTF, поэтому будет много практики и рубилова. Занятия индивидуальные или в группах из 2—3 человек, чего мы, к сожалению, не можем сделать на наших обычных сходках. Ожидайте прокачку полезных навыков, много тасков и хардкорное лето :)
Когда: 27 июня — 11 июля (две недели)
Где: Германия, Мюнхен, культурный центр GOROD
Язык: русский
Для кого: школьники от 12 лет, включая выпускников 11 класса
Стоимость: 78 000 рублей за обучение, жильё и еду. Отдельно понадобится оплатить визу и перелёт.
Для участия в школе нужен собственный ноутбук.
Кроме безопасности в школе ещё десяток направлений IT, от вездесущих олимпиадных алгоритмов до машинного обучения и VR+AR.
Подробнее можно прочесть на сайте: www.univer-sum.ru
в группе ВК: vk.com/univer_sum_news
и в канале в телеграме: t.me/univer_sum_news
— https://vk.com/wall-114366489_1359 —
Этим летом наставники SPbCTF будут преподавать спортивный хакинг и безопасность в школе UniverSum в Мюнхене. Это летний IT-лагерь, который создали основатели ЛКШ — компьютерной школы, куда каждый год съезжаются сотни учеников практиковаться в алгоритмах.
📖 Нас покорил подход Универсума к обучению. В школе нет лекций. Участники сами выбирают, в какой теме они хотят прокачаться сегодня, и вместе с преподавателем каждый день корректируют собственный план обучения. Преподаватель выступает экспертом, который передаёт знания и опыт, направляет и помогает разобраться в трудных моментах.
🌳 Чтобы планировать обучение, в школе используют дерево знаний — путь, которым стоит идти чтобы охватить определенную тему. Например, вот в каком порядке мы предлагаем учиться безопасности: http://www.univer-sum.ru/2018-graph/#ctf
Ученик отмечает на этой схеме, что он уже умеет, и на занятиях развивает следующий по порядку навык, работая индивидуально вместе с преподавателем.
🔒 Направление безопасности возглавят Саша @n0str , Влад @mrvos и Егор @groke. Они помогут разобраться в веб-уязвимостях, ревёрсе и анализе вирусов, форенсике и криминалистике, криптографии и стеганографии. Безопасности мы учим на основе CTF, поэтому будет много практики и рубилова. Занятия индивидуальные или в группах из 2—3 человек, чего мы, к сожалению, не можем сделать на наших обычных сходках. Ожидайте прокачку полезных навыков, много тасков и хардкорное лето :)
Когда: 27 июня — 11 июля (две недели)
Где: Германия, Мюнхен, культурный центр GOROD
Язык: русский
Для кого: школьники от 12 лет, включая выпускников 11 класса
Стоимость: 78 000 рублей за обучение, жильё и еду. Отдельно понадобится оплатить визу и перелёт.
Для участия в школе нужен собственный ноутбук.
Кроме безопасности в школе ещё десяток направлений IT, от вездесущих олимпиадных алгоритмов до машинного обучения и VR+AR.
Подробнее можно прочесть на сайте: www.univer-sum.ru
в группе ВК: vk.com/univer_sum_news
и в канале в телеграме: t.me/univer_sum_news
— https://vk.com/wall-114366489_1359 —
Очень интересное решение взаимодействия с tcp socket предложил @Caffeine_zz. Только bash, только хардкор.
#bash #pentest
http://telegra.ph/Bash-Kommunikaciya-s-soketom-bez-curl-nc-i-telnet-04-16
#bash #pentest
http://telegra.ph/Bash-Kommunikaciya-s-soketom-bez-curl-nc-i-telnet-04-16
Telegraph
Bash. Коммуникация с сокетом без curl, nc и telnet.
Не редко возникает необходимость в общении с TCP/UDP сокетом из bash скрипта.В этих случаях мы начинаем изощряться с curl, nc и telnet как-то нужно писать в сокет, как-то нужно читать из него. А если несколько скриптов то еще нужно умудриться прочитать свой…
Forwarded from OpenNews
Релиз nginx 1.14.0
После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.14.0, которая вобрала в себя изменения, накопленные в рамках основной ветки 1.13.x. В дальнейшем все изменения в стабильной ветке 1.14 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.15, в рамках которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus.
После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.14.0, которая вобрала в себя изменения, накопленные в рамках основной ветки 1.13.x. В дальнейшем все изменения в стабильной ветке 1.14 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.15, в рамках которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus.
4pda прогнулся под РКН, причем без веской на то причины
Вчера была удалена(скрыта) ветка более чем на 700 страниц обсуждения темы с названием Telegram. Да, ветка содержала apk-файл. Однако, насколько известно к администрации никто не обращался с просьбами удалить этот контент. В итоге форумчане создали отдельную тему, в которой обсудили действия администрации. Не все пользователи 4pda к сожалению высказывались адекватно, призывая администрацию не нарушать конституцию ( бггг ). Кто им и что задолжал на бесплатном форуме - непонятно. На данный момент ветка закрыта, а в ней появился официальный ответ администрации на ее действия.
http://4pda.ru/forum/index.php?showtopic=898061
Очень жаль, что они выставляют аж вот в таком свете ситуацию. Хочу напомнить, что ТГ не находится вне закона в России. Глава РКН упомянул это прямым текстом, говоря, что пользователи ТГ могут продолжать пользоваться мессенджером (если смогут) и никаких претензий к ним нет. Понятен жест администрации по удалению apk файла с форума - это их хлеб, но удаление обсуждения в целом, при том что это никак никем не запрещено - это смачный прогиб с подмахом жопкой в сторону РКН. Фу такими быть.
#букваосуждает
Вчера была удалена(скрыта) ветка более чем на 700 страниц обсуждения темы с названием Telegram. Да, ветка содержала apk-файл. Однако, насколько известно к администрации никто не обращался с просьбами удалить этот контент. В итоге форумчане создали отдельную тему, в которой обсудили действия администрации. Не все пользователи 4pda к сожалению высказывались адекватно, призывая администрацию не нарушать конституцию ( бггг ). Кто им и что задолжал на бесплатном форуме - непонятно. На данный момент ветка закрыта, а в ней появился официальный ответ администрации на ее действия.
http://4pda.ru/forum/index.php?showtopic=898061
Очень жаль, что они выставляют аж вот в таком свете ситуацию. Хочу напомнить, что ТГ не находится вне закона в России. Глава РКН упомянул это прямым текстом, говоря, что пользователи ТГ могут продолжать пользоваться мессенджером (если смогут) и никаких претензий к ним нет. Понятен жест администрации по удалению apk файла с форума - это их хлеб, но удаление обсуждения в целом, при том что это никак никем не запрещено - это смачный прогиб с подмахом жопкой в сторону РКН. Фу такими быть.
#букваосуждает
⚡️dante comon misconfiguration
Кстати о прокси серверах и авторизации. Дошли руки исследовать эту тему, на которую обратили внимание в одной статье на geektimes (ее правда уже удалили), что даже при условии того, что вы укажете шелл /usr/sbin/nologin, это не спасает вас например от фишки ssh проброса портов. Вам не обязательно нужен шелл, чтобы, например, создать свой сокс сервер на чужом сокс сервере из волны этого хайпа ^_^
спасибо ребятам, которые подсказали про ключ -N.
Ну и в дополнение, кроме -D вполне можно использовать и ключи -L -R, что потенциально поможет вам пробросить себя в сеть за уязвимым прокси-сервером или достучаться до служб, висящих на локалхосте.
#ssh #proxy #socks #security
Кстати о прокси серверах и авторизации. Дошли руки исследовать эту тему, на которую обратили внимание в одной статье на geektimes (ее правда уже удалили), что даже при условии того, что вы укажете шелл /usr/sbin/nologin, это не спасает вас например от фишки ssh проброса портов. Вам не обязательно нужен шелл, чтобы, например, создать свой сокс сервер на чужом сокс сервере из волны этого хайпа ^_^
ssh -N -D 1337 user@host
спасибо ребятам, которые подсказали про ключ -N.
Ну и в дополнение, кроме -D вполне можно использовать и ключи -L -R, что потенциально поможет вам пробросить себя в сеть за уязвимым прокси-сервером или достучаться до служб, висящих на локалхосте.
#ssh #proxy #socks #security
Решил сдерживать радостные вопли до круглого числа подписчиков (1024). Задумывался канал для узкой группы людей, как небольшие наброски уроков системного администрирования для группы it sec pro course. Эти ребята вдохновили меня на то чтобы начать писать какой-то материал, ну а дальше как-то это сильно вышло за рамки группы и покатилось своей дорожкой. Спасибо всем тем, кто комментирует и поправляет ошибки в материале, благодаря вам контент становится лучше. Благодарность ребяткам, которые делятся информацией о моем канале в своих сообществах. Ну и вообще всем, кто интересуется админкой и девопсом. Вы уникальные и интересные люди, ни чета этим гуманитариям.
К сожалению пока я писал это сообщение, это круглое число уже успело перевалить за круглое. просраль момент короч)
К сожалению пока я писал это сообщение, это круглое число уже успело перевалить за круглое. просраль момент короч)
Forwarded from Forst
Как быстро подписать DNS-зону для DNSSEC в BIND >= 9.9
Генерируем ключ подписи ключей (KSK)
Формируем DS-запись из KSK, передаём её доменному регистратору
Генерируем ключ подписи зоны (ZSK)
Дописываем в конфигурацию зоны (блок zone)
Подгружаем ключи для зоны
Подписываем зону с включением NSEC3 (механизм доказательства отсутствия записей)
Обновление подписей после истечения срока их действия будет производиться сервером автоматически.
#dns #dnssec #bind
Генерируем ключ подписи ключей (KSK)
# dnssec-keygen -3 -f KSK -a RSASHA256 -b 4096 -n ZONE example.com.
Формируем DS-запись из KSK, передаём её доменному регистратору
# dnssec-dsfromkey -2 Kexample.com.+008+NNNNN.key > dsset-example.com.
Генерируем ключ подписи зоны (ZSK)
# dnssec-keygen -3 -a RSASHA256 -b 2048 -n ZONE example.com.
Дописываем в конфигурацию зоны (блок zone)
auto-dnssec maintain;
inline-signing yes;
key-directory "/путь/к/папке/с/ключами";
Подгружаем ключи для зоны
# rndc loadkeys example.com.
Подписываем зону с включением NSEC3 (механизм доказательства отсутствия записей)
# rndc signing -nsec3param 1 0 10 $(openssl rand -hex 16) example.com.
Обновление подписей после истечения срока их действия будет производиться сервером автоматически.
#dns #dnssec #bind
Я напоминаю, что у канала есть чятик. Свои мысли, мнение, комментарии, потоки недовольств, гнев, слезы, беспричинную радость, боль, надежду, разочарование и прочее другое можно высказать туда.
https://t.me/joinchat/CwI6k0hYW_Bn4TYvxvDiSQ
https://t.me/joinchat/CwI6k0hYW_Bn4TYvxvDiSQ
Telegram
Флудим с Буквой
В Чате запрещено оскорблять других, называть Россию "рашкой", разговаривать, употребляя более 1 матного слова за раз.
ССЫЛКА НА ТЕХНИЧЕСКИЙ ЧАТ: https://t.me/bykvachat
ССЫЛКА НА ТЕХНИЧЕСКИЙ ЧАТ: https://t.me/bykvachat
Точечная настройка SSH
у ssh сервера возможна настройка параметров в зависимости от пользователя и группы. Так, например кому-то можно разрешить пробрасывать иксы, а кому-то ходить по паролю. Сделать это можно с помощью директивы Match. при этом не забывая в конце сделать match all, для примения параметров по-умолчанию для всех остальных.
#ssh
у ssh сервера возможна настройка параметров в зависимости от пользователя и группы. Так, например кому-то можно разрешить пробрасывать иксы, а кому-то ходить по паролю. Сделать это можно с помощью директивы Match. при этом не забывая в конце сделать match all, для примения параметров по-умолчанию для всех остальных.
Match User user1,user2
PasswordAuthentication yes
Match all
PasswordAuthentication no
#ssh