Kali Linux 2.0

August 11, 2015, 12:18 pm

≫ Next: NetRipper : intercepter le trafic réseau pré-chiffrement

≪ Previous: Demonsaw : la nouvelle plateforme d’échange de fichiers sécurisée ?

$

0

0

Ça y est ! La nouvelle version de Kali Linux est disponible

Cette version est en rolling release, c’est à dire en upgrade permanente.
En plus des mises à jour (bien sûr), l’interface a été revue et Kali Linux supporte d’autres Window Managers.

A noter que Metasploit Community n’est plus présent sur la distro : à la place on trouve la partie open-source metasploit-framework.
Ceux qui ont eu à demander une licence Metasploit gratuite récemment ont du comprendre qu’il y avait quelques changements de la part de Offensive Security :-/
On verra bien ce que ça donne, moi je conserve mon Kali précédent de côté :p

---

NetRipper : intercepter le trafic réseau pré-chiffrement

August 15, 2015, 2:47 am

≫ Next: BinNavi passe open-source

≪ Previous: Kali Linux 2.0

$

0

0

Présenté à la Defcon 23, NetRipper semble être un outil bien utile qui est capable de hooker certaines fonctions de l’API Windows pour accéder aux données avant quelles soient chiffrées ou au moment où elles sont transmises sur le réseau.

Il se présente comme un outil de post-exploitation destiné à la capture de mots de passe et autre secrets.
Il est utilisable en standalone ou sous la forme d’un module Metasploit

BinNavi passe open-source

August 20, 2015, 2:25 am

≫ Next: pr0cks : rediriger votre trafic vers un proxy SOCKS

≪ Previous: NetRipper : intercepter le trafic réseau pré-chiffrement

$

0

0

Via /r/NetSec :

Avis aux reversers : le logiciel BinNavi de chez Zynamics est maintenant open-source.
Cet outil offre une représentation avancée du code désassemblé sous forme de graphes.

Le code est sur Github.

pr0cks : rediriger votre trafic vers un proxy SOCKS

August 20, 2015, 2:42 am

≫ Next: hashtoolkit.com : site de recherche de hash

≪ Previous: BinNavi passe open-source

$

0

0

pr0cks est un script Python écrit par n1nj4sec qui permet de socks-ifier (relayer vers le proxy SOCKS) votre trafic TCP et DNS moyennant 2 lignes iptables.

Ça devrait bien se coupler avec Tor

hashtoolkit.com : site de recherche de hash

August 21, 2015, 1:54 am

≫ Next: Viproy : un ensemble de modules Metasploit pour l’exploitation VoIP

≪ Previous: pr0cks : rediriger votre trafic vers un proxy SOCKS

$

0

0

hashtoolkit est encore un site de recherche de hash permettant de retrouver le texte clair d’origine.

Il gère plusieurs algos de hash et a une base de données bien fournit. Il s’agit du successeur de Rednoize.

Viproy : un ensemble de modules Metasploit pour l’exploitation VoIP

August 21, 2015, 4:45 am

≫ Next: CrackMapExec : un outil pour l’exploitation de réseaux Windows

≪ Previous: hashtoolkit.com : site de recherche de hash

$

0

0

Viproy offre différentes fonctions d’attaques et d’énumération contre la VoIP via un jeu de modules à ajouter à Metasploit.

Plus d’infos (exemples, whitepapers, vidéos) sur le site officiel.

CrackMapExec : un outil pour l’exploitation de réseaux Windows

August 21, 2015, 5:26 am

≫ Next: Miller : le couteau-suisse du format CSV

≪ Previous: Viproy : un ensemble de modules Metasploit pour l’exploitation VoIP

$

0

0

CrackMapExec se présente comme le couteau-suisse de l’exploitation d’environnement Windows / Active Directory.

Il permet notamment de faire exécuter des commandes simultanément sur plusieurs machines Windows. Il est développé en Python et se base sur Impacket.

Miller : le couteau-suisse du format CSV

August 21, 2015, 5:31 am

≫ Next: Shellter : infection d’exécutable par injection de shellcode

≪ Previous: CrackMapExec : un outil pour l’exploitation de réseaux Windows

$

0

0

Miller (mlr) est un utilitaire en ligne de commande qui permet d’extraire via quelques options les lignes et colonnes que vous souhaitez d’un fichier CSV.

Un peu comme si grep, cut, sort, awk et compagnie étaient réunis en un seul outil

---

Shellter : infection d’exécutable par injection de shellcode

August 21, 2015, 7:48 am

≫ Next: FCIV : un outil Microsoft de vérification d’intégrité des fichiers

≪ Previous: Miller : le couteau-suisse du format CSV

$

0

0

Le projet Shellter se présente comme un outil d’injection de shellcode et le tout premier infecteur dynamique de PE.

Kesako ? D’après le readme, afin d’infecter un exécutable, Shellter va d’abord tracer son exécution pour analyser son flot d’exécution et relever les appels aux fonctions de l’API Windows.
La finalité est de pouvoir réutiliser ces appels et (à priori) de déterminer où placer le code malicieux (un shellcode Metasploit encodé). Du coup l’infecteur n’a pas besoin d’ajouter une section à l’exécutable qui sera ensuite déchiffrée et passée exécutable avant de sauter dessus, bref éviter les techniques que tous les AVs connaissent.

L’outil est dans les repos de Kali Linux.

FCIV : un outil Microsoft de vérification d’intégrité des fichiers

September 2, 2015, 4:52 am

≫ Next: nsrl.py : déterminer si un fichier est innofensif

≪ Previous: Shellter : infection d’exécutable par injection de shellcode

$

0

0

Via SANS : Microsoft File Checksum Integrity Verifier est comme son nom l’indique un programme qui permet de vérifier l’intégrité des fichiers. Utilisable en ligne de commande sans installation préalable il permet de stocker les hashs de fichiers dans un fichier XML puis de comparer plus tard les hashs avec ce qui avait été relevé … Continue reading FCIV : un outil Microsoft de vérification d’intégrité des fichiers →

nsrl.py : déterminer si un fichier est innofensif

September 4, 2015, 2:25 am

≫ Next: GDB Dashboard : Mettez un Python dans votre débogeur

≪ Previous: FCIV : un outil Microsoft de vérification d’intégrité des fichiers

$

0

0

Didier Stevens a partagé un script Python qui permet de comparer une liste de hashs avec la base de données de la National Software Reference Library. Cette base contient une quantité importante de hashs correspondant à des fichiers connus pour être tout à fait légitime (ex: les hashs de notepad.exe, calc.exe…) Pratique pour faire un … Continue reading nsrl.py : déterminer si un fichier est innofensif →

GDB Dashboard : Mettez un Python dans votre débogeur

September 13, 2015, 1:25 am

≫ Next: testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL)

≪ Previous: nsrl.py : déterminer si un fichier est innofensif

$

0

0

GDB Dashboard est à l’instar de PEDA et GEF une interface améliorée pour GDB.

Contrairement à ses deux compères il semble être plus généraliste (pas de fonctionnalités d’aide à l’exploitation) mais il semble aussi plus modulaire…

testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL)

September 22, 2015, 3:06 am

≫ Next: Qubes 3.0 et BackBox Linux 4.4

≪ Previous: GDB Dashboard : Mettez un Python dans votre débogeur

$

0

0

Via ISC SANS : Une nouvelle version de testssl.sh, un script permettant de déterminer quelle est le niveau de sécurité du chiffrement utilisé sur un site, est disponible. Ce script permet aussi de tester d’autres protocoles que HTTPS, regarde les différents algos utilisables (ex: RC4) et vérifie si le serveur a été patché contre CRIME, … Continue reading testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL) →

Qubes 3.0 et BackBox Linux 4.4

October 13, 2015, 7:45 am

≫ Next: PackerAttacker : un outil d’unpacking automatique de malware

≪ Previous: testssl.sh : tester la sécurité d’un serveur HTTPS (et autres protocoles derrière TLS/SSL)

$

0

0

Deux distributions orienté sécurité, chacune avec une vision différente, sortent une nouvelle version.

Qubes est disponible en version 3.0 finale. Cette version se base sur les Hypervisor Abstraction Layer pour rendre le système indépendant du système de virtualisation utilisé en fond.

Quand à BackBox Linux, qui se veux une alternative à Kali, la route continue avec une version 4.4. Une base Ubuntu et un kernel à jour, des nouvelles applis, etc.

PackerAttacker : un outil d’unpacking automatique de malware

October 13, 2015, 8:14 am

≫ Next: C’est mal

≪ Previous: Qubes 3.0 et BackBox Linux 4.4

$

0

0

Présenté à la DerbyCon par des chercheurs de chez Bromium, PackerAttacker est un outil open-source qui fait de l’unpacking générique de malwares.

D’après l’extrait du talk :

(…) all packers have a common goal: to write code to memory and execute it.
We’ve created a tool named The Packer Attacker, which exploits this common feature that exists in all packers.

From an injected DLL, The Packer Attacker uses memory and API hooks to monitor when a sample writes to its PE sections, allocates new memory, or executes within heap memory that has been given executable privileges. When any of these events culminate in a way that resembles expected packer behavior, the targeted memory page(s) are dumped to disk, accompanied by detailed logs of what caused the dump. For it’s memory hooks, The Packer Attacker limits access rights to tracked pages and uses a Vectored Exception Handler to catch ACCESS_VIOLATION exceptions when the memory is written to or executed. For it’s API hooks, the tool uses Microsoft Research’s Detours library. The injected DLL also will also propagate itself into new processes and track when code is unpacked to remote processes.

In our tests, The Packer Attacker has been able to pull full PE executables from actives samples of many high-profile malware families. In blind tests against an unknown variety of malware from a large malware repository, The Packer Attacker showed ~90% efficiency, defeating both known and unknown packers.

Vidéo du talk sur IronGeek.

---

C’est mal

October 23, 2015, 9:30 am

≫ Next: Hack : une nouvelle police de caractères pour le code

≪ Previous: PackerAttacker : un outil d’unpacking automatique de malware

$

0

0

Très mal… mais quand on n’en est pas la victime je suppose qu’on doit passer un bon moment à rire.

Hack : une nouvelle police de caractères pour le code

October 26, 2015, 9:06 am

≫ Next: PDFX : extraction de métadonnées et d’URLs depuis un PDF

≪ Previous: C’est mal

$

0

0

Via Networkworld :

Une nouvelle police de caractère principalement dédié au code (comme Inconsolata ou Source Code Pro) a fait son apparition : Hack.
A mettre en place pour votre IDE et/ou votre terminal.

PDFX : extraction de métadonnées et d’URLs depuis un PDF

October 27, 2015, 12:20 am

≫ Next: Tor Messenger

≪ Previous: Hack : une nouvelle police de caractères pour le code

$

0

0

PDFX est à la fois un outil en ligne de commande et une librairie Python permettant d’accéder aux métadonnées d’un document PDF et d’en extraire les URLs présentes.

Tor Messenger

October 30, 2015, 7:21 am

≫ Next: Brute force WordPress

≪ Previous: PDFX : extraction de métadonnées et d’URLs depuis un PDF

$

0

0

Via NEXTINpact :

Le projet Tor a annoncé une première béta de Tor Messenger.
A l’instar de Tor Browser, le logiciel permet de faire circuler le trafic d’une application (ici InstantBird, le soft de messagerie instantanée de Mozilla) à travers les nodes du réseau Tor.

Vous pouvez ainsi vous connecter à votre compte GTalk, IRC, XMPP et compagnie en cachant votre adresse IP. Votre trafic termine toujours sur le serveur de messagerie avec vos identifiants donc l’utilité peut sembler faible.
Le soft inclus tout de même le plugin OTR pour plus de confidentialité.

Les plus paranos se dirigeront plutôt vers Ricochet.

Brute force WordPress

October 30, 2015, 9:23 am

≫ Next: Nmap 7

≪ Previous: Tor Messenger

$

0

0

Cet outil (wpbrute-rpc) posté sur Github il y a quelques semaines profite d’un manque de vérification sur l’interface RPC de l’application de blog pour pouvoir tester jusqu’à 500 mots de passe en une requête, ce qui n’est pas possible via une attaque sur le formulaire standard qui est capable de limiter ce type d’attaque.