Рубрика «IPv6» - 3

image

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье нам придется проэксплуатировать уязвимости в Redis и WebMin, а также подобрать пароль к зашифрованному ключу RSA.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация

Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

  • PWN;
  • криптография (Crypto);
  • cетевые технологии (Network);
  • реверс (Reverse Engineering);
  • стеганография (Stegano);
  • поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать полностью »

Восемнадцатого сентября прошлого года белорусов обрадовали неожиданным указом № 350. Среди прочей канцелярщины обнаружился особо интересный параграф:

6. Поставщики интернет-услуг обязаны:

осуществлять с 1 января 2020 г. при оказании услуг по размещению в сети Интернет информационных систем и (или) информационных ресурсов адресацию по технологии, предусматривающей полную поддержку интернет-протоколов версий 4 и 6 сетевыми устройствами;

То есть с 1-го января все сайты хостящиеся в Беларуси должны иметь адресацию по IPv6.

И, тем самым, Беларусь стала первой страной в которой IPv6 стал закреплен законодательно.
В новостях дружно прозвучали лозунги об очередном технологическом прорыве, но… посмотрим насколько же административно-распорядительное внедрение IPv6 оказалось успешным.

Для начала исследуем «общегражданские» ресурсы. К сожалению, списка всех доменов зоны BY в открытом доступе не нашлось, поэтому сделаем несколько репрезентативных выборок и проверим сайты на наличие AAAA-записей.
Читать полностью »

Практически все статьи, которые я видел на тему «чем хорош IPv6 и почему на него стоит пошустрее переходить», говорят только о просто более широком адресном пространстве. В лучшем случае, упомянут автоматическую конфигурацию адресов и маршрутов (stateless address autoconfiguration (SLAAC)). Это удручает, а ведь IPv6 имеет много ещё других неявных плюшек, являясь очень продуманным стеком протоколов (IPv6 + ICMPv6 + NDP)! Создаётся впечатление, что IPv6 это просто тупо про расширение адресов, а дальше то особо никакого профита. Или же некоторые статьи плачутся о том, что они не видят сиюминутного профита от внедрения/перехода. Простоту и удобство, гибкость и расширенные возможности (из-за одного только избавления от NAT-а) не так то легко измерить, как какие-нибудь задержки и пропускную способность. Решил поэтому собрать моё видение прекрасного мира IPv6 протокола и его плюсы в этой статье.

Читать полностью »

image

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье узнаем IPv6 адрес сервера с помощью FXP, поработаем с rsync, а также запишем ssh-ключ используя SQL-инъекцию при обработке журналов логов в Postgres.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация

Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

  • PWN;
  • криптография (Crypto);
  • cетевые технологии (Network);
  • реверс (Reverse Engineering);
  • стеганография (Stegano);
  • поиск и эксплуатация WEB-уязвимостей.

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Читать полностью »

IPv6 — вы делаете это неправильно - 1

Вокруг IPv6 много заблуждений и мифов. Часто хостинг-провайдеры неправильно понимают, как его использовать и размышляют устаревшими подходами из мира IPv4. Например, имея октиллионы IPv6-адресов, хостер продает адреса клиентам поштучно вместо того, чтобы выделять полноценную сеть /64, как следует из рекомендаций.

Бывает, что хостеры назначают разным клиентам IPv6-адреса внутри одной сети /64. При этом крупные сервисы, вроде Google, воспринимают все адреса внутри диапазона /64 как одного клиента. В результате клиенты могут страдать из-за действий соседа по диапазону.

Доступность IPv6-адресов позволяет назначать внутренним ресурсам, например, контейнерам или VPN-клиентам полноценные внешние адреса. Для этого хостер должен выдать клиенту отдельную маршрутизируемую сеть. К сожалению, почти никто не умеет это делать.

В статье мы разберем основные ошибки использования IPv6 провайдерами.
Читать полностью »

Перевод статьи подготовлен специально для студентов курса «Пентест. Практика тестирования на проникновение».


Пентест Active Directory. Часть 1 - 1

У меня было несколько клиентов, пришедших ко мне перед пентестом с уверенностью в том, что они были в хорошей форме, потому что их анализ уязвимостей не показал критических уязвимостей, и что они готовы к пентесту, лишь за тем, чтобы я получил права администратора домена за пятнадцать минут, просто воспользовавшись ошибками в конфигурациях в AD.
Читать полностью »

image

Интернет-регистратор RIPE Network Coordination Centre объявил, что адреса интернет-протокола IPv4 закончились. Это произошло 25 ноября, когда были распределены последние 22 адреса. Теперь получить адрес IPv4 возможно, лишь если его освободит текущий владелец.

RIPE NCC

Региональный регистратор, отвечает за распределение IP-адресов в Европе, на постсоветском пространстве и на Ближнем Востоке.

Подобный сценарий возможен, если закроется компания-владелец ресурса, или какая-либо сеть освободит ненужный ей адрес. Такие идентификаторы будут распределять между национальными интернет-регистраторами. Уже сформирована очередь на получение IPv4-адресов. Претендовать на них могут те, кто никогда не получал никакого адреса этого интернет-протокола в прошлом. Читать полностью »

С 1 января 2020 года все провайдеры Беларуси будут обязаны поддерживать интернет-протокол IPv6 параллельно с IPv4. Этого требует новое дополнение к указу президента Республики Беларусь № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет».

Гарантированная поддержка IPv6 призвана решить проблему с глобальным дефицитом адресов IPv4. Теоретически, «невидимая рука рынка» должна заставить провайдеров по всему миру постепенно перейти на IPv6. Беларусь выбрала путь административного регулирования. Это более быстрый и эффективный вариант, с точки зрения чиновников, которые не комплексуют по поводу чрезмерного вмешательства государства в экономику.

Как сообщают местные издания, Беларусь стала первой в мире страной, которая заставит провайдеров поддерживать IPv6.
Читать полностью »

СМИ подняли панику, что «в России кончаются IP-адреса». Как на самом деле? - 1
Распределение адресного пространства IPv4 (слева) и IPv6 (справа), апрель 2018 года

На прошлой неделе немало шума наделала статья «К концу сентября в России закончатся IP-адреса» в РБК (123 000 просмотров), которую затем подхватили другие СМИ.

На самом деле никаких причин для паники нет. Вкратце:

  1. Речь только об адресах IPv4 (адресов IPv6 вполне достаточно, см. правую часть КДПВ).
  2. Дефицит адресов IPv4 у RIPE NCC не только в России, а во всём регионе регистратуры.
  3. Все давно привыкли жить в условиях дефицита.
  4. В случае крайней необходимости адреса IPv4 можно купить на свободном рынке.
  5. Обычные пользователи не заметят разницы, это проблема провайдеров.

Далее по пунктам.
Читать полностью »

Исследование Устойчивости Национальных Сегментов Интернета за 2019 - 1

Данное исследование объясняет, каким образом отказ одной автономной системы (AS) влияет на глобальную связность отдельного региона, особенно в том случае, когда речь идет о крупнейшем провайдере интернета (ISP) данной страны. Связность интернета на сетевом уровне обусловлена взаимодействием между автономными системами. По мере увеличения количества альтернативных маршрутов между AS возникает устойчивость к отказам и повышается стабильность интернета в данной стране. Однако некоторые пути становятся более важными, по сравнению с остальными, и наличие как можно большего числа альтернативных маршрутов в итоге является единственным способом обеспечить надежность системы (в смысле AS).

Глобальная связность любой AS, независимо от того, представляет ли она второстепенного поставщика интернета или международного гиганта с миллионами потребителей услуг, зависит от количества и качества его путей к Tier-1 провайдерам. Как правило, Tier-1 подразумевает международную компанию, предлагающую глобальную услугу IP-транзита и подключение к другим Tier-1 операторам. Тем не менее, внутри данного элитного клуба нет обязательства поддерживать такую связь. Только рынок может придать мотивацию таким компаниям безоговорочно соединяться друг с другом, обеспечивая высокое качество обслуживания. Достаточный ли это стимул? Мы ответим на этот вопрос ниже — в секции, посвященной связности IPv6.

Если провайдер интернета теряет связь хотя бы с одним из собственных Tier-1 соединений, он, вероятнее всего, окажется недоступен в некоторых частях Земли.

Измерение надежности интернета

Представьте, что AS испытывает значительную сетевую деградацию. Мы ищем ответ на следующий вопрос: «Какой процент AS в этом регионе может потерять связь с Tier-1 операторами, тем самым утратив глобальную доступность»?
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js