ITrig

Nachdem Github im letzten Jahr die erste Beta Version seines Code Editors für das 21 Jahrhundert vorgestellt hat, folgt nun die finale Version des Open Source Tools .

Atom basiert auch Chromium und Node.js und vereint laut eigenen Aussagen die Vorteile bekannter Editoren wie Sublime, Emacs, Vim oder TextMate.
Ob diese Angaben der Wahrheit entsprechen, kann ich zum jetzigen Zeitpunkt leider nicht sagen, da ich den Editor noch nicht in Verwendung habe.

Atom 1.0 Editor unter Ubuntu (14.04) installieren

Damit die finale Version 1.0 verwendet werden kann, muss sie zunächst installiert werden. Unter Ubuntu ein leichtes Unterfangen, da die nötigen Pakete schon zum Download zur Verfügung stehen.

wget https://github.com/atom/atom/releases/download/v1.0.0/atom-amd64.deb
dpkg -i atom-amd64.deb
atom

Alternativ kann der Editor auch über das  wepupd8team Repository installiert werden. Ich weiß allerdings nicht ob das zum jetzigen Zeitpunkt schon aktuell ist, wenn nicht sollte es nur ein Frage von Stunden sein.

sudo add-apt-repository ppa:webupd8team/atom
sudo apt-get update
sudo apt-get install atom

Solltet ihr Probleme mit der Tastatur haben, empfehle ich euch das "keyboard-localization" Package in den Preferences des Editors nach zu installieren.

[Update] - Phone Home deaktivieren

Leider läuft nach der Standardinstallation ein Paket, welches Daten an Google Analytics sendet, dieses sollte abgeschaltet werden. Zu finden ist es unter Packages "metrics".

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

• Damn Vulnerable Web Application (DVWA) (login: admin:password)
• Mutillidae/NOWASP
• WebGoat (login: guest:guest)
• Insecure Web App
• w3af test framework
• WAVSEP Scanner Testbench
• XSS Practice Cases (WAVSEP XSS w/ hints hidden)
• REST demos
• JSON demo
• DOM XSS demo
• Simple Maven PHP demos
• sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

• Burp Suite (free version)
• w3af
• sqlmap
• arachni 
• metasploit
• Zed Attack Proxy 
• OWASP Skavenger
• OWASP Dirbuster
• Paros
• Webscarab
• Ratproxy
• skipfish
• websecurify
• davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

 

Das könnte dich auch interessieren

• Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

• SSLyze - SSL Server Einstellungen per Kommandozeile überprüfen

• WPScan - Wordpress Schwachstellen Scanner auf Ubuntu installieren

• BackBox Linux 4.1 - Update für die Pentesting Ubuntu Distribution

• 7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

• Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT

Heute ein Mini Tipp zum kleinen Freitag.

Ipv6 auf einen Tomcat Server abschalten

Um einem Tomcat Server beizubringen, dass er nur auf einer IPv4 Adresse lauscht, muss unter Ubuntu (14.04) nur ein Startparameter gesetzt werden. Danach kann mit "netstat -tlpn" geprüft werden, wo der Tomcat lauscht. Ich gehe in diesem Beispiel davon aus, dass der Server über apt-get installiert wurde.

nano /etc/default/tomcat7

oder

nano /etc/default/tomcat6

Nun die vorhanden Zeile

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC"

um einen Zusatz ergänzen

JAVA_OPTS="-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC  -Djava.net.preferIPv4Stack=true"

Das könnte dich auch interessieren

• Selbstsignierte Zertifikate mit Subject Alternative Names (SANs) für Apache, Nginx oder Tomcat erstellen

• Tomcat 7/8 absichern - SSLv2 und SSLv3 deaktivieren - PFS aktivieren

• 9 praktische Keytool Befehle - Zertifikatsmanagement unter Java

• Anleitung - Ubuntu 14.04 LTS Server - Tomcat 7 mit Apache Server in 15 Minuten installieren und konfigurieren

Seit dem letzten Artikel sind schon wieder ein paar Tage vergangen, ich schiebe es mal auf den Sommer. Dafür geht es heute um ein richtig nerdiges Thema. 

Facebook oder Twitter über das Terminal nutzen, braucht man das? Vielleicht wenn nur ein Konsole zur Verfügung steht oder der Nerd durchkommt, welcher nicht anders kann....egal, Hauptsache es geht. Aber wie? Das will ich euch heute zeigen.

Rainbowstream - Twitter auf der Konsole nutzen

Der Twitter Client Rainbowstream basiert auf Python, darum muss auf dem Referenzsystem (Ubuntu 14.04) die Python Paketverwaltung installiert sein.

sudo apt-get install python-pip

Installation Rainbowstream

Danach ist die Installation des Client schnell erledigt, die Konfiguration nimmt dafür etwas mehr Zeit in Anspruch. Etwas Geschick mit dem Terminalbrowser w3m ist ebenfalls gefragt, solltet ihr wirklich nur ein Terminal zur Verfügung haben.

sudo pip install rainbowstream

                PIL SETUP SUMMARY
                --------------------------------------------------------------------
                version      Pillow 2.8.2
                platform     linux2 2.7.6 
                             [GCC 4.8.2]
                --------------------------------------------------------------------
                *** TKINTER support not available
                *** JPEG support not available
                *** OPENJPEG (JPEG2000) support not available
                --- ZLIB (PNG/ZIP) support available
                *** LIBTIFF support not available
                *** FREETYPE2 support not available
                *** LITTLECMS2 support not available
                *** WEBP support not available
                *** WEBPMUX support not available
                --------------------------------------------------------------------
                To add a missing option, make sure you have the required
                library, and set the corresponding ROOT variable in the
                setup.py script.

                To check the build, run the selftest.py script.

                changing mode of build/scripts-2.7/pildriver.py from 644 to 755
                changing mode of build/scripts-2.7/pilconvert.py from 644 to 755
                changing mode of build/scripts-2.7/pilfile.py from 644 to 755
                changing mode of build/scripts-2.7/pilfont.py from 644 to 755
                changing mode of build/scripts-2.7/pilprint.py from 644 to 755
                changing mode of /usr/local/bin/pildriver.py to 755
                changing mode of /usr/local/bin/pilconvert.py to 755
                changing mode of /usr/local/bin/pilfile.py to 755
                changing mode of /usr/local/bin/pilfont.py to 755
                changing mode of /usr/local/bin/pilprint.py to 755
              Running setup.py install for PySocks

            Successfully installed rainbowstream python-dateutil arrow pyfiglet twitter Pillow PySocks
            Cleaning up...

Der Start der Software erfolgt nach der Installation einfach mit dem Befehl

rainbowstream

Konfiguration des Clients

Die Terminaloberfläche erklärt euch danach ausführlich die nächsten Schritte, wie Anlegen eines neuen Accounts oder Einloggen mit einem vorhandenen.

Via "Cursor" und "Enter" auf den Text "Twitter" kann zuvor die Sprache ausgewählt werden.

Gleiches gilt für andere Texteingaben, in der gewünschten Zeile die Enter Taste betätigen und den Text eingeben.

Bei der ersten Anmeldung mit euren Zugangsdaten geht ein Browserfenster auf, welche die App für euren Account freischaltet. Solltet ihr einen Server ohne Oberfläche betreiben, geht dies natürlich nicht.

Doch der verwendete w3m Terminal Browser beherrscht Tab Browsing. Denn der API Key wird in einem neuen Fenster angezeigt.

Ihr solltet ein wenig mit den w3m Befehlen vertraut sein, um zwischen den Fenstern zu wechseln, damit der API Key richtige eingegeben werden kann.

Die wichtigsten w3m Befehle

T    open new tab

C-q    close current tab

{,}    move to next/previous tab

ESC-t    popup tab selection menu

Ein komplette w3m cheat sheet findet ihr hier.

Sobald der API Key richtig hinterlegt wurde, kann es mit Rainbowstream und Twitter richtig los gehen.

Rainbowstream bedienen

Nach dem erfolgreichen Registrieren und Einloggen sind natürlich Tastaturbefehle von Nöten.
Angefangen beim Theme Wechsel mit dem Befehl "theme tomorrow_night, solarized, larapaste oder monokai" bis zum ersten Absetzen eines Tweets mit dem einfachen Befehl "t" gefolgt vom Text.

Tweet absetzen: t + text

Trends anzeigen: trends

Hauptseite: home

Retweet: rt + Tweet ID

Zitieren: Quote + Tweet ID + eigener Tweet

Dem Twittern steht nun Nichts mehr im Wege, über "h" kann eine ausführliche Hilfe aufgerufen werden.

Die komplette Liste an Befehlen ist bei den Entwicklern selbst zu finden.

Hier seien noch die richtigen Terminal Befehle erwähnt, damit die Konsole beispielsweise ordnungsgemäß verlassen werden kann.

Terminal Befehle Rainbowstream

h für Hilfe

p für Pause

r für Weiter

c für einen klaren Bildschirm

v für die Version

q für Beenden

Fazit

Rainbowstream stellt eine praktische Alternative fürs Terminal dar, dass dadurch Abstriche zum Beispiel in Bezug auf Bilder, gemacht werden müssen ist unvermeidbar. Dafür sorgen die vorhandenen Themes für ein abwechslungsreiches Twitter Erlebnis. 
Die Installation ist mit w3m und dem API Key etwas umständlich aber zu bewältigen.
Dank sinnvoller Tastaturbefehle ist die Bedienung einfach und geht leicht von der Hand. Terminal Freunde werden bei diesem Client nicht "Nein" sagen können.

---

Facy bringt Facebook auf die Konsole

Auch Facebook lässt sich übers Terminal bedienen, anders als bei Rainbowstream wird anstatt Python dieses Mal Ruby auf der Ubuntu Maschine benötigt. (Ich hatte ja bereits beschrieben wie sich Ruby auf Ubuntu installieren lässt.)

Die Installation ist hier genauso einfach wie beim erwähnten Twitter Client, allerdings wird es bei der Konfiguration etwas kniffliger, da hier ohne richtigen Browser keine Installation möglich ist.

sudo apt-get install ruby ruby-dev libpq-dev

gem install fancy

Der erste Start der Anwendung erfolgt mit dem Befehl "facy"

Facy Konfigurieren

Anders als beim Twitter Client, ist nun zwingend ein richtiger Browser nötig. Zusätzlich wird ein Facebook Developer Account benötigt, denn es muss eine eigene App angelegt werden. 

Die Installation und Konfiguration ist somit über das Terminal leider nicht möglich. Das heißt es muss wie folgt vorgegangen werden

1. Auf https://developers.facebook.com wechseln
2. Registrieren und einloggen
3. Add an new App auswählen
   1. Egal ob Android, Facebook Canvas oder Webseite
4. Oben Rechts auf Skip and and Create an new App ID klicken
5. Namen vergeben
6. App ID erstellen
7. App ID und App Secret in Fancy hinterlegen.
8. Eventuell muss bei der App noch an den Zugriffsrechten etwas freigeschaltet werden.

Fazit

Bei Facy habe ich irgendwann aufgegeben, da der API Key zusammen mit dem nötigen Secret nicht richtig angenommen wurde. Beziehungsweise angenommen wurden diese schon, aber der generierte Link mit User Token wollte nicht so wie ich...

Mir hat irgendwann die Motivation gefehlt, da die Konfiguration doch etwas aufwendig war. Dadurch, dass Facebook etwas bilderlastiger als Twitter ist, empfinde ich Facebook auf dem Terminal auch nur halb so attraktiv.

Um auf dem aktuellen Stand zu bleiben und den Feed durchtickern zu lassen, ist es sicherlich eine gute Lösung, nur leider nicht für meine Zwecke.