Forwarded from Кавычка (Bo0oM)
Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.
Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}
На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:
Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.
По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys
Отдельного упоминания заслуживает avatar_url:
А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.
Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}
На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:
{"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpwn","created_at":"2020-09-21T17:25:55.046Z","bio":"","bio_html":"","location":"","public_email":"","skype":"","linkedin":"","twitter":"@i_bo0om.ru","website_url":"https://t.me/webpwn","organization":"","job_title":"","work_information":null}Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.
По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys
Отдельного упоминания заслуживает avatar_url:
”avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon”
Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.echo -n "webpwn@bo0om.ru" | md5
4e99709ca6b52f78d02cb92a5bc65d85А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.
Наверное, вы заметили, что постов в канале стало заметно меньше, а авторские и вовсе исчезли.
Дело в том, что с начала лета я вступил в новую должность и времени стало заметно меньше. Приходится изучать новые для меня технологии и в то же время как-то работать с ними, чтобы не сломать инфраструктуру. Ну вы сами все знаете - кому я рассказываю.
А технологии для меня действительно новые (на проде я с таким не работал, только в лабах). И должность новая. Я теперь официально DevOps Engineer (ага, их не существует, а я существую).
А это значит, что скоро я смогу рассказать что это за профессия изнутри и как девопс практики могут помочь "обычному" админу. Как зарабатывать 300 кк/сек не расскажу - сам не знаю. Догадываюсь, что для этого нужно много работать и много знать 😱
Посты про Mikrotik никуда не денутся, есть в планах писать о нем в журналы и репостить сюда. Продвигается мой pet-project с управлением RouterOS из ansible, а значит скоро я об этом расскажу.
Пишите поздравления и ваши пожелания по постам в комменты ⬇️
Дело в том, что с начала лета я вступил в новую должность и времени стало заметно меньше. Приходится изучать новые для меня технологии и в то же время как-то работать с ними, чтобы не сломать инфраструктуру. Ну вы сами все знаете - кому я рассказываю.
А технологии для меня действительно новые (на проде я с таким не работал, только в лабах). И должность новая. Я теперь официально DevOps Engineer (ага, их не существует, а я существую).
А это значит, что скоро я смогу рассказать что это за профессия изнутри и как девопс практики могут помочь "обычному" админу. Как зарабатывать 300 кк/сек не расскажу - сам не знаю. Догадываюсь, что для этого нужно много работать и много знать 😱
Посты про Mikrotik никуда не денутся, есть в планах писать о нем в журналы и репостить сюда. Продвигается мой pet-project с управлением RouterOS из ansible, а значит скоро я об этом расскажу.
Пишите поздравления и ваши пожелания по постам в комменты ⬇️
Вышло из пейвола продолжение моей статьи о настройке фаервола на Mikrotik RouterOS. Защищаемся от сканеров, троянов и ддосеров.
Помните, что не существует серебряной пули. Построить защиту можно только комплексными методами - один только фаервол не спасет сеть.
Помните, что не существует серебряной пули. Построить защиту можно только комплексными методами - один только фаервол не спасет сеть.
XAKEP
Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik
В этой статье мы рассмотрим, как защищать роутер MikroTik от атак и сканеров портов, а также предотвратим попадание нашей сети в бан-листы. Полученный опыт поможет тебе настраивать и другие виды файрволов.
Я готовился по курсам Ника Руссо. Это выглядит тоже неплохо. Ещё и официальное
Forwarded from NetDevOps Space
Возможно вы бы хотели самостоятельно подготовиться к новой сертификации DevNet Associate, но не знаете где взять материалы, то DevNet Associate Learning Map от Cisco то,что надо.
Здесь собраны все необходимые ресурсы в одном месте.
Хотя Cisco и честно предупреждает, что это не полноценный ресурс для самостоятельной подготовки, но он может быть использован в виде отправной точки.
Для просмотра материалов у вас должен быть Cisco ID, если его нет, то нужно просто зарегистрироваться.
Круто, мне как раз нужно было!- 👍
Я уже сдал(а) и получил(а) сертификат!-👌
Я сдавал(а), но не смог(ла) сдать!-😢
Мне не надо! -😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#devasc
Здесь собраны все необходимые ресурсы в одном месте.
Хотя Cisco и честно предупреждает, что это не полноценный ресурс для самостоятельной подготовки, но он может быть использован в виде отправной точки.
Для просмотра материалов у вас должен быть Cisco ID, если его нет, то нужно просто зарегистрироваться.
Круто, мне как раз нужно было!- 👍
Я уже сдал(а) и получил(а) сертификат!-👌
Я сдавал(а), но не смог(ла) сдать!-😢
Мне не надо! -😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#devasc
Telegram
DevNet
Все о темах, связанных с технологиями в области сетевой автоматизации, NetDevOps.
Поиск единомышленников и обмен ресурсами, проектами, мероприятиями, образованием и самообразованием.
Чат группы @automate_net
По вопросам сотрудничества - @egaripov
Поиск единомышленников и обмен ресурсами, проектами, мероприятиями, образованием и самообразованием.
Чат группы @automate_net
По вопросам сотрудничества - @egaripov
Evilginx
Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication
#security #mitm
Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication
#security #mitm
GitHub
GitHub - kgretzky/evilginx2: Standalone man-in-the-middle attack framework used for phishing login credentials along with session…
Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
Новые продукты Mikrotik и их видеопрезентация
• hAP ac³ (https://youtu.be/dYpRhltO9ig)
• CSS610-8G-2S+IN (https://youtu.be/gtcrosakRYY)
• mANTBox 52 15s (https://youtu.be/CfQqk_cRils)
• netPower Lite 7R (https://youtu.be/6lzQGo0YG1k)
• nRayAIM-DH1 attachment
• MikroTik LMT LTE18
• hAP ac³ (https://youtu.be/dYpRhltO9ig)
• CSS610-8G-2S+IN (https://youtu.be/gtcrosakRYY)
• mANTBox 52 15s (https://youtu.be/CfQqk_cRils)
• netPower Lite 7R (https://youtu.be/6lzQGo0YG1k)
• nRayAIM-DH1 attachment
• MikroTik LMT LTE18
Либа для python для создания дашбордов Grafana
https://pypi.org/project/grafanalib/
https://pypi.org/project/grafanalib/
PyPI
grafanalib
Library for building Grafana dashboards
Forwarded from NetDevOps Space
Выходные! Значит самое время узнать о том как устроены сети в Кубере.
Михаил Кашин, написал прекрасный "Kubernetis Networking Guide" и выделил для этого целый вебсайт. Кроме этого есть описание лабораторной работы, которую можно выполнить самостоятельно.
По словам автора:
"Цель этого сайта - предоставить обзор различных сетевых компонентов Kubernetes с особым акцентом на то, как именно они реализуют необходимую функциональность.
Информация здесь может быть использована в образовательных целях, однако, основная цель - предоставить единую точку отсчета для проектирования, эксплуатации и поиска неисправностей кластерных сетевых решений."
Супер, то, что надо на выходные!-👍
Уже знаю и работаю с кубером!-👌
Добавил(а) в закладки для последующего изучения!-🙏
Займусь более полезными вещами на выходных!-😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#kubernetes
Михаил Кашин, написал прекрасный "Kubernetis Networking Guide" и выделил для этого целый вебсайт. Кроме этого есть описание лабораторной работы, которую можно выполнить самостоятельно.
По словам автора:
"Цель этого сайта - предоставить обзор различных сетевых компонентов Kubernetes с особым акцентом на то, как именно они реализуют необходимую функциональность.
Информация здесь может быть использована в образовательных целях, однако, основная цель - предоставить единую точку отсчета для проектирования, эксплуатации и поиска неисправностей кластерных сетевых решений."
Супер, то, что надо на выходные!-👍
Уже знаю и работаю с кубером!-👌
Добавил(а) в закладки для последующего изучения!-🙏
Займусь более полезными вещами на выходных!-😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#kubernetes
Telegram
DevNet
Все о темах, связанных с технологиями в области сетевой автоматизации, NetDevOps.
Поиск единомышленников и обмен ресурсами, проектами, мероприятиями, образованием и самообразованием.
Чат группы @automate_net
По вопросам сотрудничества - @egaripov
Поиск единомышленников и обмен ресурсами, проектами, мероприятиями, образованием и самообразованием.
Чат группы @automate_net
По вопросам сотрудничества - @egaripov
Никогда не любил OpenVPN. Оказалось эта нелюбовь взаимна. Потратил несколько часов на решение проблемы
Сервер: Mikrotik RouterOS
Клиент: Windows 10
Подключение: tcp tun c TLS
Проблема: подключение устанавливается, маршруты встают верно, трафик в туннель не уходит.
Долгое курение конфигов и тестирование разных версий клиента привело к победе.
Решение:
1. Старый драйвер TAP для Windows не работает. При установке необходимо выбрать драйвер WinTun-beta (он точно есть в версии 3.2.1 OVPN-Connect. Не Community версия! её я не проверил)
2. В конфиге обязательно указать cipher. Винда на это никак не ругается
#ovpn #windows
Сервер: Mikrotik RouterOS
Клиент: Windows 10
Подключение: tcp tun c TLS
Проблема: подключение устанавливается, маршруты встают верно, трафик в туннель не уходит.
Долгое курение конфигов и тестирование разных версий клиента привело к победе.
Решение:
1. Старый драйвер TAP для Windows не работает. При установке необходимо выбрать драйвер WinTun-beta (он точно есть в версии 3.2.1 OVPN-Connect. Не Community версия! её я не проверил)
2. В конфиге обязательно указать cipher. Винда на это никак не ругается
#ovpn #windows
Forwarded from -CyberSecurityTechnologies-
Mikrotik exploit from Vault 7 CIA Leaks automation tool. Fast exploitation tool for RouterOS up to 6.38.4
https://github.com/vulnersCom/mikrot8over
https://github.com/vulnersCom/mikrot8over
Telegram анонсировал комментарии. Теперь у этого канала есть чат для обсуждения постов. Комменты можно оставить под любым постом
Forwarded from NetDevOps Space
Хотели давно изучить CI/CD? Тогда бесплатный курс:"Continuous Integration with Jenkins" точно для вас.
На курсе, состоящем из 19 лекций, вы узнаете разницу между Continuous Integration и Continuous Delivery.
В практической части курса будет использоваться Jenkins в GCP Compute Engine.
В конце курса будут рассмотрены основные вопросы для интервью. Как обещает курс это поможет вам подготовиться к собеседованию по software engineering.
Торопитесь курс скоро может стать платным.
Круто, спасибо за ссылку!-🔥
Уже знаю и использую CI/CD!-👌
Мне не надо! -😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#ci_cd #freebie_course
На курсе, состоящем из 19 лекций, вы узнаете разницу между Continuous Integration и Continuous Delivery.
В практической части курса будет использоваться Jenkins в GCP Compute Engine.
В конце курса будут рассмотрены основные вопросы для интервью. Как обещает курс это поможет вам подготовиться к собеседованию по software engineering.
Торопитесь курс скоро может стать платным.
Круто, спасибо за ссылку!-🔥
Уже знаю и использую CI/CD!-👌
Мне не надо! -😏
Хотите обсудить? Айда в чат - https://t.me/automate_devnet
#ci_cd #freebie_course
