Kali Linux 2019.4

Zum Jahresausklang haben die Entwickler von Kali Linux noch einmal Gas gegeben.
Das neue Release wurde auf Xfce umgestellt, somit sollten Performance Probleme hoffentlich der Vergangenheit angehören. 

Außerdem wurde ein Undercover Modus eingeführt, welcher Kali wie Windows aussehen lässt. Der Windows Modus soll für weniger Aufmerksamkeit beim Arbeiten in der Öffentlichkeit sorgen, nette Spielerei.

Die Dokumentation wurde auf Gitlab migriert und steht in Markdown zur Verfügung.

Für Entwickler, die ihre Tools im Kali Repository pflegen gibt es in der Dokumentation eine Anleitung wie sie neue Pakete einreichen können.

Manche werden sie vermisst haben, andere nicht, die Powershell ist auf Kali Linux angekommen und kann einfach installiert werden

sudo apt install powershell
pwsh

NetHunter Kex

Eine weitere Neuerung ist Nethunter Kex. Systeme mit Nethunter können nun an HDMI Geräte angeschlossen werden. Kurz gesagt mit dem Handy ein Kali Linux auf dem Fernseher darstellen.

Die Entwickler scheinen zumindest begeistert von der Vorstellung sein Kali immer in der Hosentasche zu haben

Raspberry Pi

Freunde von ARM Computern müssen sich spätestens nächstes Jahr umstellen, da ab 2020 nur noch 16GB SD Karten unterstützt werden.

CAINE 11

Wurmloch wurde das aktuelle Release des Computer Aided INvestigative Environment getauft.

Die neue Version bootet automatisch komplett im Lesemodus.
Hauptsächlich wurden Tools wie OSINT oder Autopsy 4.13 erneuert und hinzugefügt

• SCRCPY - screen your Android device
• X11VNC Server - to control CAINE remotely
• Hashcat. New scripts (in the Forensics Tools - Analysis menu)
• AutoMacTc - a forensics tool for Mac. Bitlocker - volatility plugin
• Autotimeliner - automagically extract forensic timeline from volatile memory dumps
• Firmwalker - firmware analyzer. CDQR - Cold Disk Quick Response tool
• CDQR - Cold Disk Quick Response tool

Die Distribution bringt ebenfalls Windows Tools mit, diese wurden selbstverständlich auch erweitert.

Parrot 4.7

Der Papagei hat bereits im September ein Update erhalten, dieses soll aber nicht unerwähnt bleiben.

So wurde das Menü neu strukturiert, der Kernel auf 5.2 angehoben und MATE auf 1.22 aktualisiert.

Außerdem wird in Zukunft die Domain parrotlinux.org als offizielle Adresse verwendet.

---

Übersicht 12/2019

 

Name	Version	Tools	Besonderes	Basis	GUI
Autopsy	4.13.0	???	The Sleuth Kit	Windows
BackBox	6.0	100+	AWS	Ubuntu	Xfce
BlackArch	2019.09.01	1750+	ArchLinux	ArchLinux	Gnome
CAINE	11	100+	WinUFO	Ubuntu	Mate
DracOS	3.0	100+	CLI	LFS	DWM
DEFT Zero	2018.2	250+	Mac Support	Lubuntu 14.04	Lxde
Kali Linux	2019.4	300+	ARM fähig	Debian Testing	Multi
Kali App Store		20+		Android
LionSec	5.0	???	3 Jahre alt	Ubuntu
Matriux	v3 RC1	300+	out of date	Debian	Gnome
NST	28	???	Server integriert	Fedora
NetSecL OS	6.0	50+		OpenSuse	Lxde
Paladin	7.0	30+		Ubuntu
Parrot Sec	4.7	700+	Cloud fähig	Debian Buster	MATE/KDE
Pentoo	2018.0 RC7.1	???	64bit	Gentoo	Xfce
Ronin		150+	out of date	Lubuntu	Lxde
Sans SIFT	3.0	20+		Ubuntu

 

Das klassische Cheatsheet besteht meistens aus einer Sammlung von Befehlen oder Hilfestellungen, die auf einer DIN A4 Seite zusammengefasst werden.
Solche Spickzettel können auf dem Rechner als PDF abgelegt werden oder im Büro ausgedruckt einen Platz an der Wand finden.

Cheat.sh

Cheat.sh geht hier einen anderen Weg und holt den Nutzer da ab wo er ist, auf der Kommandozeile.

Mit dem Tool können via curl einfache Hilfestellungen zu Kommandozeilenbefehlen, Programmiersprachen oder Datenbanken abgerufen werden.
Anders als beispielsweise die man pages, stellt cheat.sh einfache Beispiele zur gesuchten Abfrage dar.

Zur Nutzung muss das Tool nicht zwingend installiert werden, eine Verbindung zum Internet reicht völlig aus.

Einen Linux Befehl abrufen, hier am Beispiel von tar.

curl cheat.sh/tar

# tar
# Archiving utility.
# Often combined with a compression method, such as gzip or bzip.
# More information: <https://www.gnu.org/software/tar>.

# Create an archive from files:
tar cf target.tar file1 file2 file3

# Create a gzipped archive:
tar czf target.tar.gz file1 file2 file3

# Extract a (compressed) archive into the current directory:
tar xf source.tar[.gz|.bz2|.xz]

# Extract an archive into a target directory:
tar xf source.tar -C directory

# Create a compressed archive, using archive suffix to determine the compression program:
tar caf target.tar.xz file1 file2 file3

# List the contents of a tar file:
tar tvf source.tar

# Extract files matching a pattern:
tar xf source.tar --wildcards "*.html"

Nach einem bestimmten Begriff suchen, am Beispiel von Docker.

curl cheat.sh/~docker

Eine Programmiersprache lernen, in diesem Fall Python.

curl cheat.sh/python/:learn

Übersicht

curl cheat.sh

Die Github Seite des Projektes verrät mehr über den riesen Umfang des Cheatsheet.

Installation von Cheat.sh (global)

Natürlich lässt sich das Tool auch direkt auf dem System installieren bzw. hosten (dazu wird allerdings Docker benötigt).

Der Dienst cheat.sh hat einen eigenen Kommandozeilen-Client (cht.sh), der im Vergleich zur direkten Abfrage mit curl mehrere nützliche Funktionen bietet:

• Spezieller Shell-Modus mit persistentem Abfragekontext und Readline-Unterstützung
• Abfrage der Historie
• Integration der Zwischenablage
• Unterstützung der Tabulatorvervollständigung für Shells (bash, fish, zsh)
• Stealth-Modus

Eine Installation ist schnell erledigt.

sudo apt install rlwrap
curl https://cht.sh/:cht.sh | sudo tee /usr/local/bin/cht.sh
sudo chmod +x /usr/local/bin/cht.sh

Nach einer Installation kann cht.sh anstatt curl verwendet werden und es ergeben sich die oben erwähnten Möglichkeiten.

Einbindungen in den Editor

Cheat.sh unterstützt momentan die Einbindung in die Editoren wie Emacs, Sublime, Vim und Visual Studio Code.

Eine Anleitung findet ihr ebenfalls auf Github.

Cheat.sh und Windows

Sogar Windows wird von dem kleinen Tool bedient. Dazu ist eine Exe notwendig, die ihr hier findet.

Fazit

Perfektes Tool für das schnelle Nachschlagen eines Befehls, ohne das Terminal verlassen zu müssen.

Das Cheatsheet ist sicher nicht neu und besteht bereits seit 2017, allerdings hat sich seither viel getan.

Cheat.sh unterstützt ca. 1000 Linux Befehle und 56 Programmiersprachen.

Um Kali Linux Tools nutzen zu können muss nicht zwingend eine Kali Linux Installation vorliegen.
Das Python Script Katoolin erlaubt es die ca. 300 Kali Anwendungen unter Debian basierten Distributionen zu verwenden.

Kali Linux Tools unter Ubuntu mit Katoolin

Die Installation ist denkbar einfach. Die Verwendung der Tools ist analog zu Kali Linux.

apt-get install git python

git clone https://github.com/LionSec/katoolin.git && cp katoolin/katoolin.py /usr/bin/katoolin

chmod +x  /usr/bin/katoolin

sudo katoolin

Danach stehen euch über ein Textmenü verschiedene Installation zur Verfügung. Hier können entweder alle Tools installiert oder einzelne herausgepickt werden.

Hier am Beispiel aircrack-ng:

Um bei der Navigation wieder in das Hauptmenü zu gelangen muss "back" eingegeben werden. Beenden lässt sich Katoolin mit Strg+C.

Nutzer von Desktopsystemen können unter Punkt 4. ebenfalls ein extra Menü für die Toolsammlung installieren.

Fazit

Durch Katoolin wird die Installation vieler Tools stark vereinfacht, zusätzlich bleibt dem Nutzer das Aufsetzen einer anderen Distribution erspart.

 

Hin und wieder tauchen im Firefox "komische" Fehlermeldungen beim Aufrufen von Webseiten auf.

Da es durch die Zeitumstellung gerade ganz gut passt, gehe ich heute auf folgende Browser Fehlermeldung ein:

Secure Connection Failed

An error occurred during a connection to xyz.com. The OCSP response is not yet valid (contains a date in the future) Error code: SEC_ERROR_OCSP_FUTURE_RESPONSE

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.


Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit xyz.com aufgetreten. Die OCSP-Antwort ist noch nicht gültig (enthält ein Datum in der Zukunft). (Fehlercode: sec_error_ocsp_future_response)

     Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
     Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

 

Lösung sec_error_ocsp_future_response

Der Browser zeigt diesen Fehler beim Aufrufen einer Seite im Netz an, weil schlicht und einfach das Datum oder die Uhrzeit des Systems nicht stimmen.

Dies lässt sich bekanntermaßen einfach beheben.

Ein Aufrufen und Anpassen der Windows Zeit Einstellungen kann mit Start --> Ausführen --> ms-settings:dateandtime erfolgen.

Unter Ubuntu reicht ein sudo date --set="2019-10-27 19:35:59.990" auf der Konsole aus. Allerdings sollte hier ebenfalls an die BIOS Uhrzeit gedacht werden sudo hwclock --systohc.

Helfen die richtigen Systemeinstellungen nicht dauerhaft, kann die BIOS Batterie eine Ursache sein und muss getauscht werden.

Es soll vorkommen, dass Zeiteinstellungen im System nicht angepasst werden dürfen.

Um Webseiten im Firefox dennoch aufrufen zu können, kann das bemängelte OCSP temporär abgeschaltet werden. Doch was ist das eigentlich?

OCSP Stapling

Die Wikipedia schreibt dazu:

Online Certificate Status Protocol stapling, formell bekannt als die TLS-Zertifikatsstatusabfrage-Erweiterung, ist ein alternativer Ansatz zum Online Certificate Status Protocol (OCSP) um den Gültigkeitsstatus von digitalen Zertifikaten nach X.509 zu prüfen.Es ermöglicht dem Zertifizierten, die Aufgabe der Zertifikatsvalidierung zu übernehmen, indem er eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ursprünglichen TLS-Handshake anhängt („stapling“). Dieses Verfahren verringert den Kommunikationsaufwand zwischen Clients und Zertifizierungsstellen deutlich.

OCSP Stapling im Firefox deaktivieren

Der oben erwähnte OCSP Aufruf kann im Firefox deaktiviert werden.

1. Mozilla Firefox öffnen.
2. In der Adressleiste about:config eingeben und Enter drücken.
3. Nach security.ssl.enable_ocsp_stapling suchen.
4. Den Wert auf false setzen.

Nach gut einem Jahr wurde vor wenigen Tagen die Version 12 der Datenbanklösung PostgreSQL veröffentlicht.

Das Release steht im Zeichen der Performance und bietet beispielsweise mit REINDEX CONCURRENTLY nun eine Möglichkeit Indizes im laufenden Betrieb ohne Einbußen zu erneuern.

Weitere Änderungen sind im Changelog zu finden. Dort finden sich zusätzlich Anweisungen, welche für die ein oder andere Migration relevant sein dürften.

PostgreSQL 12 unter Ubuntu installieren

Bei der Aktualisierung der vorhandenen Version hat sich nicht allzu viel getan. Der Vorgang ist analog zu Version 11.
 

sudo sh -c  'echo "deb http://apt.postgresql.org/pub/repos/apt/ bionic-pgdg main" >> /etc/apt/sources.list.d/pgdg.list'

wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add -

sudo apt update

sudo apt install postgresql-11

Nun kann überprüft werden, ob das System korrekt funktioniert. Dazu wird in die Postgres Console gewechselt.

sudo -u postgres psql

postgres=# \conninfo
You are connected to database "postgres" as user "postgres" via socket in "/var/run/postgresql" at port "5432".

---

PostgreSQL 11 auf PostgreSQL 12 aktualisieren

Nachdem die neueste Version installiert wurde, kann die alte im folgenden migriert werden.

Unbedingt eine Sicherung der vorhandenen Datenbanken machen.

pg_dumpall > /temp/sicherung

Noch einmal die Installationsinfos anzeigen lassen.

sudo pg_lsclusters

Ver Cluster Port Status Owner    Data directory              Log file
11  main    5432 online postgres /var/lib/postgresql/11/main /var/log/postgresql/postgresql-11-main.log

Sollte eine neue Version bereits installiert sein, muss diese zunächst gestoppt werden.

sudo pg_dropcluster 12 main --stop

Danach das alte Cluster migrieren.

sudo pg_upgradecluster 11 main

Sollte der Vorgang erfolgreich gewesen sein, kann das alte Cluster entfernt werden.

sudo pg_dropcluster 11 main

---

pgAdmin 4 für PostgreSQL 12 installieren

Für viele bietet sich zur Verwaltung eine grafische Oberfläche an, hier kann der Quasistandard pgAdmin genutzt werden.

Das Tool hat sich in den letzten Jahren gut entwickelt und viele Kinderkrankheiten überwunden.

Das benötigte Repository ist durch die vorhergehende PostgreSQL Installation bereits vorhanden.

sudo apt install pgadmin4 pgadmin4-apache2

Das erste Paket installiert das Tool an sich, das zweite installiert das Webinterface dazu. Bei der Installation werden Mailadresse und Passwort abgefragt, dies wird später für den Login benötigt.

Die fertige Installation kann über den Browser aufgerufen werden.

http://localhost/pgadmin4/