white.h4t.eu

Ici c'est Linux, plaintext et pentest.

ServMon HackTheBox

June 20, 2020 — ebsd

image-20200616154000328

Intro

Box retirée le 20 juin 2020. Deux vulnérabilités s’enchaînent pour mener l'attaquant à un shell System.

Résumé
  • Un admin laisse le mot de passe d'un utilisateur dans un fichier texte
  • Une application web vulnérable permet de lire ce fichier. Le compte utilisateur est compromis.
  • Une seconde application de métrologie permet à cet utilisateur d'exécuter des commandes en tant que System.

Read more...

Comments? Tweet  

Monteverde HackTheBox

June 13, 2020 — ebsd

Intro

Box retirée le 13 juin 2020. Il s'agit d'un Windows Server 2019. On va utiliser le service Azure AD pour élever nos privilèges.

Points clés :

  • Mot de passe faible sur un compte "technique"
  • Un fichier de configuration est disponible sur un partage
  • Un mot de passe est réutilisé pour 2 fonctions différentes
  • Élévation de privilèges de admin Azure Active Directory à Domain Administrator

Read more...

Comments? Tweet  

La santé de ton hdd est primordiale en ces temps

May 01, 2020 — ebsd

Comment tester l'état de santé de ton précieux disque ? Les smartmontools sont là pour ça !

Où est ton disque ?

$ lsblk
NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda      8:0    0 223.6G  0 disk 
├─sda1   8:1    0   300M  0 part /boot/efi
└─sda2   8:2    0 223.3G  0 part /
sdb      8:16   0 465.8G  0 disk 
└─sdb1   8:17   0 465.8G  0 part /run/media/ebsd/8e054110-80aa-4857-8344-84b3c460051e

Read more...

Comments? Tweet  

Twtxt microblogging décentralisé

April 24, 2020 — ebsd

Twtxt est un service de microblogging décentralisé et minimaliste pour les hackers :-)

Installation

$ pip3 install twtxt

Configuration

$ twtxt quickstart

Ton premier tweet

$ twtxt tweet "C'est parti !"

Abonne toi

$ twtxt follow ebsd http://white.h4t.eu/twtxt.txt

Lit ta timeline

$ twtxt timeline

Liste des utilisateurs actifs

Cette page est modifiable : https://github.com/mdom/we-are-twtxt/blob/master/we-are-twtxt.txt

Client txtnish

$ git clone https://github.com/mdom/txtnish.git
$ make
$ txtnish quickstart

Tags: linux, plaintext

Comments? Tweet  

Newsboat - un lecteur RSS en ligne de commande

April 14, 2020 — ebsd

Installation

$ sudo pacman -S newsboat

Lancer newsboat

$ newsboat
Starting newsboat 2.19.0...
Loading configuration...done.
Opening cache...done.
Loading URLs from /home/ebsd/.newsboat/urls...done.
Error: no URLs configured. Please fill the file
/home/ebsd/.newsboat/urls with RSS feed URLs or import an OPML file.

Editer ce fichier

$ vi ~/.newsboat/urls

Et ajouter les urls ligne par ligne

http://white.h4t.eu/feed.rss

Il ne reste plus qu'à lire !

$ newsboat

Tags: plaintext

Comments? Tweet  

Covid19 Tracker CLI

April 12, 2020 — ebsd

Les amoureux du terminal apprécieront ce tracker de Coronavirus en ligne de commande.

Le code ISO 3166-1 du pays est à passer par l'url (CH, FR, DE, IT, UK, etc...).

$ curl -L covid19.trackercli.com/ch
╔══════════════════════════════════════════════════════════════════════╗
║ COVID-19 Tracker CLI v3.1.0 - Switzerland Update                     ║
╟──────────────────────────────────────────────────────────────────────╢
║ As of 4/12/2020, 12:22:26 PM [Date:4/12/2020]                        ║
╟─────────────╤──────────────╤───────────╤─────────────╤───────────────╢
║ Cases       │ Deaths       │ Recovered │ Active      │ Cases/Million ║
╟─────────────┼──────────────┼───────────┼─────────────┼───────────────╢
║ 25,300      │ 1,036        │ 12,100    │ 12,164      │ 2,923         ║
╟─────────────┼──────────────┼───────────┼─────────────┼───────────────╢
║ Today Cases │ Today Deaths │ Critical  │ Mortality % │ Recovery %    ║
╟─────────────┼──────────────┼───────────┼─────────────┼───────────────╢
║ 193         │ 0            │ 386       │ 4.09        │ 47.83         ║
╟─────────────╧──────────────╧───────────╧─────────────╧───────────────╢
║ Source: https://www.worldometers.info/coronavirus/                   ║
╟──────────────────────────────────────────────────────────────────────╢
║ Code: https://github.com/warengonzaga/covid19-tracker-cli            ║
╚══════════════════════════════════════════════════════════════════════╝

 Keep calm and carry on...

 ------------------------------------------------------------
 Love this project? Help us to help others by means of coffee!
 (Buy Me A Coffee) warengonza.ga/coffee4dev
 ------------------------------------------------------------
 Follow me on twitter for more updates!
 @warengonzaga #covid19trackercli

Tags: cli

Comments? Tweet  

NAS Maison : Raspberry Pi 4 + Quad Sata HAT

April 11, 2020 — ebsd

En complément de mon serveur VPS en ligne, j'ai récemment acquis un Raspberry Pi 4 et un Quad Sata Hat. Ce dernier permet de connecter jusqu'à 4 disques SATA 2,5p au Raspberry Pi. Parfait pour un RAID qui sécurise mes données. Celles-ci sont synchronisées entre le VPS et le Pi via Syncthing. Je dispose ensuite de backups incémentaux effectués sur les disques du RAID grâce à rsync. Voici quelques infos pour la mise en route du Quad Sata Hat et d'un RAID1 logiciel sous Raspbian. Pour l'exercice, nous devons créer ce RAID mirroir sur 2 disques sans perdre les données déjà présentes sur un des deux disques. Voici une modeste représentation visuelle de mon installation.

<------+  CLOUD  +----->             <---+ HOME +--->
rclone         ___                       ___
crypt         +===+     Syncthing       +===+
+-----------+ |VPS|  <---------------+> |Pi |
|             +___+                  |  +___+
|               ^                    |
|               | syncthing          |  ++ ++ 2 HDD    ++ ++ 2 HDD
v               |                    +> || || RAID1    || || RAID1
gdrive          v                       ++ ++          ++ ++
              Laptop                      +   rsnapshot  ^
                                          +--------------+

Read more...

Comments? Tweet  

Outils et services

April 08, 2020 — ebsd

En ce milieu de 4ème semaine de confinement, je fais le point sur mon outillage quotidien et services en ligne.

Les installables

  • Typora : Mon éditeur Markdown préféré
  • Pandoc : pour générer de magnifiques PDF
  • Slack : Pour échanger avec les collègues
  • Flameshot : pour de superbes captures écran
  • Keepass : pour conserver mes secrets, secret
  • vim : l'éditeur incontournable
  • Unison : pour synchroniser mes fichiers
  • Syncthing : encore pour synchroniser, mais surtout pour radier g--gle drive d'ici. Couplé à un VPS et un Raspberry Pi + le Quad Sata Hat. Vous obtenez une solution de stockage à bas prix et surtout efficace !
  • rsync : pour mes backups incrementaux
  • rsnapshot : idem mais préféré !
  • Manjaro : OS favori pour mon laptop
  • Debian : OS favori pour mes serveurs

Les hébergés

Le quotidien

  • ncdu : pour gérer mon espace disque

Tags: liens

Comments? Tweet  

Anti sèche vim

April 05, 2020 — ebsd

Profitons de cette période de confinement numéro 1 pour réviser.

  • Se déplacer au mot suivant : w
  • Se déplacer au mot précédant : b
  • Fin de ligne : $
  • Début de ligne : ^
  • Aller à la ligne n : nG
  • Aller à la 1ere ligne : 1G
  • Dernière : G
  • Undo : u
  • Joindre la ligne suivante à la ligne courrante : J
  • Numéro de ligne : Ctrl-g ou :set number
  • Copier la sélection : y
  • Copier la ligne : yy
  • Copier n lignes : nyy
  • Copier le mot : yw
  • Copier n mots : nyw
  • Coller après le curseur : p
  • Coller avant le curseur P
  • Supprimer la ligne : dd
  • Supprimer le reste de la ligne : d$
  • Supprimer depuis le début de la ligne : d^
  • Supprimer jusqu'à la fin du fichier : dG
  • Supprimer depuis le début du fichier : d1G
  • Supprimer n lignes : ndd
  • Supprimer n mots : ndw
  • Rechercher vers le bas : /chaine
  • Rechercher vers le haut : ?chaine
  • Répéter la recherche : n
  • Repéter la recherche dans la direction inverse : N
  • Désactiver la sensibilité à la casse : :set ignorecase

Un peu plus loin

  • Supprimer les espaces à la fin de chaque ligne : :%s/\s\+$//e
  • Idem au début de chaque ligne : :%s/^\s+//e
  • Afficher un guide d'indentation (tab) : :set listchars=tab:\|\ puis :set list
  • Indenter (tabulation) un bloc de texte : sélectionner le texte avec V, puis jj>
  • Déplacer le curseur librement : set virtualedit=all

Tags: linux

Comments? Tweet  

Liens

April 04, 2020 — ebsd

Raspberry etc

People

Security

Others

Tags: liens

Comments? Tweet  

Réaliser sa TODO LIST en mode plaintext

April 04, 2020 — ebsd

Troisième semaine de de confinement, j'arrive à la fin de mon premier sachet de 48 dosettes de café, un petit bébé qui commence à s'agripper à ma chaise pour se hisser, et je réfléchis à mon organisation.

  ,==.      
 /  66\    
 \c  -_)  
  `) (   
  /   \    
 /   \ \    
((   /\ \_ |
 \\  \ `--`|
 / / /  |~~~
(_(___)_|

Nous avons tous nos organisations personnelles pour gérer les "choses" que nous avons à faire. Tableurs infames couplés à des calendriers, fichiers partagés sur le cloud, je vois de tout. Mon objectif est de suivre les actions que j'ai à mener au sein de mes différents projets. Ceci bien évidemment en restant :

  • simple
  • efficace
  • portable (plaintext power !)

Quelques recherches m'ont guidé vers plaintext-productivity.net dont je me suis beaucoup inspiré.

Je vais donc m'organiser avec une seule TODO LIST (_todo.md), et 1 fichier done.md par mois. L'idée est de noter toutes les actions à mener, en lien avec un projet et des personnes. J'ai opté pour ce format :

[x] 01.01.2020 +PROJET @PERSONNE - Action à réaliser
[ ] 02.01.2020 +PROJET2 @PERSONNE1 @PERSONNE2 - Action très urgente

Classer les actions par projet me permet ainsi de filtrer le contenu de mes fichiers done pour y rechercher les traces d'actions dans le passé. Grep est devenu ma machine à voyager dans le temps ! J'ai enfin ma propre DeLerean.

$ grep -ri +PROJET -A3 | grep -i @PERSONNE1

Tags: plaintext

Comments? Tweet  

Blog en mode "plaintext"

April 03, 2020 — ebsd

J'utilisais depuis quelques temps HTMLY, un CMS sans base de données, pour la gestion de ce blog. Je souhaite en effet conserver mes posts sous forme de simples fichiers textes pour des questions de conservation et de portabilité. Je recherchais depuis peu une solution plus simple et ne nécessitant pas ou peu de gestion / maintenance, et surtout réduire la surface d'attaque. Par ailleurs, je suis attaché au respect de la Unix-Philosophy : chaque programme possède sa fonction.

J'ai découvert Bashblog, qui me permet de gérer ce blog très simplement via un simple bash script. Combiné à Syncthing, je peux administrer mon site depuis plusieurs PC sans même accéder au shell de mon serveur web ou à une interface d'administration. Tout ce qu'il ne faut est un terminal :-)

Vous aimez le shell et vous voulez partager simplement en ligne ? Utilisez le script Bashblog !

Tags: plaintext

Comments? Tweet