Casual_blog/content/hidden/phd2/keypoints.md

528 lines
20 KiB
Markdown
Raw Permalink Normal View History

2024-05-21 05:52:25 +00:00
+++
Title = "keypoints"
hidden = true
+++
(наверное не финальная версия)
# Введение
>старт
>клик
- 70% не делятся прогами
>клик
- замечательный мир, +1.3млн репозиториев, диски в хранилку
# Whoami
>клик
- Я Casual, независимый иследователь и топ-50 standoff365
## Для кого, о чём и зачем этот доклад?
>клик
- для начинающих хакеров, первый инструмент.
- А PRO выкладывать в OpenSource
- Цель заманить в OpenSource -> Free
>клик
- лицензия доклада
- (интерактив) кто уже выкладывал что-то на github + расскажите
# Что такое OpenSource и Free Software?
>клик
- теория OSS ("4свободы"),
>клик
- Free (4 важнейшие свободы)
>клик
- OSS = Free?
>клик
- не совсем
## Идеология
>клик
- OSI и FSF (free=свободная, не бесплатно)
- разница, 4свободы
- намерения разрабов OSS заменить ком. прод, Free - предоставить свободы
- калькулятор,
>клик
- "нельзя просто так взять и модифицировать калькулятор"
- обход - root/прошивка
- "те у кого кастомный android можно пересчитать по пальцам в этом зале"
- (интерактив) У кого custom android? (11-ый, опусти руку)
- вендор-угнетатель, никакого OSS
>клик
- root на Xiaomi + месяц
- если gnu GPLv3 - можно было бы обновить
- решение - поставить калькулятор как обычное приложение.
- но я не люблю ставить лишние приложения и не знать что установлено на моём устройстве.
- не новы случаи предустановленного бэкдора
- А где есть google services, google владеет телефоном
>клик
- фотки на запрещёнку, доступ к смс и уведомлениям, удалённая блокировка или обнуление. "В общем"
>клик
- "Literally 1984"
- Возвращаясь к Xiaomi, на флагманах просто нет кастомных прошивок
# Лицензии
>клик
- back to OpenSource, кратенько про licenses
- OpenSource = permissive/copyleft
- License - нужна для защиты разработчика
- permissive - база (4 свободы)
- permissive схожа с copyleft, но она не запрещает приватизацию
>клик
- в случае с copyleft - компания обязаны выложить их программу в opensource с этой же лицензией
# +/- for dev
## +
>клик
- совместная разработка = недопонимания
>клик
- выложить прогу = сделать мир лучше.
- Столлман изменил весь мир сделав GNU/Linux таким каким мы его знаем
>клик
- вы более узнаваемы в комьюнити = приглосы на events/work
- Мур попал в Rapid7 из-за metasploit
>клик
- при устройстве на работу - будет круто иметь OSS.
- В моём прошлом собесе так было
>клик
- делая OSS, get PRs => improve skills/pentest.
- Moore got better at writting exploits while working on metasploit
>клик
- when code public - you write better. Это Эффект Хоторна
# +/- for usr
## -
>клик
- there might be no user support, project may die in next month
- I have sent PR to one youtuber, but he abandoned project
>клик
- downloading OSS without checking code = downloading cracked software
- latest big example - XZ (backdoor)
>клик
- no one is responsible if something goes wrong and you loose your data
>клик
- there might be no documentation for project
- Once I've found one specific library for python, but there wasn't almost any documentation,
## +
>клик
- free
>клик
- you own program and you can do anything with it.
- Guy with FL-studio like programm couldn't install version which he bought 10y ago, bc online activation
>клик
- user can check security
- XZ, secResearcher found backdoor, in proprietary software it could be not found at all
>клик
- user customize entire program
>клик
- any user can help dev with prj
- not only about code, also proposals, discussions, user support, documentation
- ProxmoxVE devs gets more fixes from users than from companies
# Особенности написания хакерских утилит
>клик
- example of how its to write cool tool
>клик
- hero - H.D. Moore, Metasploit dev
>клик
- in 90-ых M was 18, job as pentester
- at those times, hard to find exploits
- today we google "prod ver exploit"
- get exploit = search people in IRC chats
>клик
- when PC of M was full of diff exploits = creation metasploit
- metasploit = select exploit, write input data, run
- (Interact) Imagine you are boss of infosec company, and your сотрудник shows program which can give ANYONE ability to hack ANY company. How would you do?
- In right hands - instrument to def many companies
- In wrong - cyberweapon
- When M shown to his boss - he was afrid of consicuences
- but he could get rid of M due to many active pentests
- In 2003 metasploit going OpenSource in metasploit.com
- =serious народное волнение, никто не остался в стороне
- M company
- his clients
- black hat hackers
- darknet hackers who write exploits
- other pentesters - they thought M steal theirs work releasing this simple tool
- all those who didn't liked -> try site hacks, DDoSs
- 1 hacker even hacked провайдера M, bc he couldn't hack site
- then they attack M = клевета, identity theft, anything you can think
- M's boss also got mail to fire M, bc what did M was unresponsible to their believe
- but M was getting more motivated by that
- Not only hackers were annoyed - vendors didn't wanted to have exploit in metasploit for their software
- M liked being attacker and target
- gov also didn't liked Metsplt - M had money for адвоката if he got in jail by night
- постепенно dev team = 200
- and In 2009, M had долги, стартап, беременная жена, rapid7 propose to buy Metasploit
- = we have openSource and Pro version. M got high paing job + company вступилась за него
- Now metasploit not only tool for pentesters, it's tought in schools.
- Программа Мура прошла сквозь ненависть всего мира к общепринятому стандарту.
- Сейчас Мур уволился из Rapid7 и у него своя компания.
# Как писать программы, если вы не программист?
>клик
- now i hope you think "OpenSource is cool"
- пройдёмся по курсу молодого боййца -> вы могли выйти готовыми начать писать свою программу
## Язык программирования
>клик
- про то на чём писать
>клик
- холивар за язык программирования,
>клик
- но самый крутой язык - английский. Помогает где угодно
>клик
- а если не знаете - выберите GoLang
- только не показывайте друзьям их маскот
### Как ему научиться
>клик
- я не люблю монотонно учиться, учитесь...
>клик
- пиша свой и читая чужой код, then you will learn
- если первый язык - то
>клик
- 1. офф туториал как запустить
- 2. интерактивная экскурсия
- 3. туториал на примерах
- = отличная база
# Как ~~программировать~~ гуглить
>клик
- прогеры не пишут, прогеры...
>клик
- звучит смешно, но - научитесь гуглить самостоятельно
>клик
>клик (Дабл)
- 1. на английском
>клик
- 2. конструкция запроса
>клик
- 3. нет ответа -> перефразируй, можно chatgpt, без ответа
>клик
- 4. не проси помощи у знакомых и на форумах за 25м, научись
## ОС
>клик
- пара слов - используй GNU/Linux
## Git и все-все-все
>клик
- про git
- git - система контроля версий. откат до предыдущего сохранения
- кооперация. совмещение кода
- сервисы для доступа к git - gtihub, на него и грузим
## Guidelines по созданию OpenSource проекта
>клик
- как же сделать свой OpenSource
>клик
- 0. регаемся
>клик
- 1. создаём repo
>клик
- 2.license - MIT=idk/GPL=free
>клик
- 3. git clone
- if git clone SSH = error - no ssh key in GitHub
>клик
- `ssh-keygen`, 3xEntr, cat key | copy
>клик
- paste SSH pub key -> github. We can download (via SSH)/+update changes
>клик
- 4. составьте план разработки
>клик
- u need:
- write which functions prog have
- write which input
- devide funct to steps
- set proirity
- essential func
- additional
- enchantment
- for instance:
- i wannt prog to check DOS - compare server response time bofer atck and after (DOS Checker)
>клик
- also in real time, with beautiful TUI
>клик
- Plus custom headers
>клик
- And POST if backend task
>клик
- Also check requests - HTTP porxy
>клик
- for accuracy - few requests, среднее время ответа
>клик
- input we need:
>клик
- url link
>клик
- request type GET/POST (GET default)
>клик
- request body for POST
>клик
- link to Proxy
>клик
- monitoring?
>клик
- lets devide func to steps
- for DOS checker we need
>клик
- get link from terminal
>клик
- write to var
>клик
- make GET to url
>клик
- get response time
>клик
- write to var
>клик
- let user start attack, wait any button press
>клик
- repeat GET and Response time and write to another var
>клик
- compare vars, if 2x+ then attack successful
>клик
- http proxy - get var from term. If not empty, set as Proxy in every request func
>клик
- POST req + body - another func which sends POST with body from flag.
>клик
>клик (дабл)
- custom Header - if flag not empty - add to headers
>клик
- monitoring mode - find libr for TUI. Imagine how it should look. И т.д.
>клик
- and now priorities:
>клик
- essential: DOS, Proxy
>клик
- Add-ons: среднее время, POST
>клик
- echancment: headers, monitoring
>клик
- 5. dev from very basic
- just sit and do element which you want. Google may bless you
- if google give 0 => более мал. элементы
- when new feature, check that prog works.
- then upload changes to repo with `git add,commit,push`
>клик
- but you will failure cuz Git don't know your email/nick, add them with suggested `git config`
- А, `git add` - new files to repo
- `git commit` - фиксирует изменения, to revert
- `git push` - upload to github, need to add SSH key, what we already did
- after that, local changes will appear in github
>клик
- Напишите README
- README = txt describes proj. It's first thing that potential user will see in your tool.
- Readme should answer:
>клик
+ what project do?
>клик
+ Why is it helpful, which usecase
>клик
+ How to install and try it?
>клик
+ Which func exist and how to use them (documentation)
- And now about owncloud_bruteforcer
## пример - owncloud_bruteforcer
>клик
- In pentest I've found OwnCloud
>клик
- owncloud - opensource cloud.
- after few login tries - i wasn't locked out, So I would make отчёт and get reward
- BUT i couldnt find prog with requirments
- for owncloud auth need:
>клик
- CSRF token from body
>клик
- Cookies from headers
>клик
- specific client header
- I want write bruteforcer - auth with wordlist
- более того, with userlist
- in owncloud case, before auth, we nedd GET CSRF+cookie
- So idea is simple, we need
### Идея
>клик
- get input data via CLI
>клик
- with ability to attack userlist,specified user,or default
> пауза
>клик
- Get CSRF+cookie, for that we need:
>клик
- make GET to login page
>клик
- with regexp get token from body
>клик
- with regexp get cookie from headers
- and put them to variables
>клик
- Use wordlist for attacking user
- and then try to auth
>клик
- в цикле воркеры авторизуются паралельно
>клик
- before each auth worker get new token+cookie
>клик
- each worker get next password and try to auth with all parameters
>клик
- worker checks if login was successful or not by response from server
### Разработка
>клик
- in dev, inconvinient if auth sucessful, by showing packet to Term, => add http proxy, to check auth
>клик
- in dev, were bugs, a lot, that's the unexpected one:
- the point - I use channels, In go, Channel is used to transfer vars beetwen parallel OP
- you can think as tube which contain X vars, and they выстраиваются в очередь.
- after getting var out of chan, var dissapear, good in my case
- So what's the problem in this pseudocode?
>клик
- You have 3 minutes, можете поднимать руку и высказывать предположение. Hint - bug will eat all RAM. Why?
> 3m wait
- that's another hint - quick fix
>клик
>1m wait
- the problem - GC не успевает чистить, from vars in цикле.
- but in this case prog user 250MB RAM, not what I expect.
- Final решение..:
> wait to read
>клик
- so prog run background proc which add passes up to 1000, when free - add new
- next in parallel run bruteforcer
- not going far from bugs - lets talk about slow programming and cult of done
- because final solution - is faulty - everytime it reads again from disk. but я могу допустить этот баг
- so to bugs I have 2 варианта подхода
- Slow Proggraming and manifesto Cult of Done
- What's SlowProgr? - It's when you prog to Заниматься творичиство and get удовольствие. You slowly, methodically, try to решить кусок кода эфф. решением. много получают кайф от этого.
- 2nd var - follow manifest Cult of Done, it isn't aboud proggraming, but about do things faster. It's short and I like it, there is a part:
>клик
- "2.Смиритесь: всё, что вы делаете это "черновой вариант". Так проще завершить работу."
- expect that you will not complete, it will not have all func, code optimisation, full documentation
>клик
- "3.Этапа "редактирования" не существует."
- if you expect to basically write basic func and then optimise them - you will not do it OR it will take much time. Write good solution right away
>клик
- "7.Сделав что-то, можно про это забыть."
- написали программу? Забудьте про её поддержку. У вас и так достаточно проектов над которыми вам нужно работать.
>клик
- "8.Смейтесь над совершенством. Оно скучно и мешает вам завершить результат."
- хоть я и перфекционист, но вы никогда не закончите проект, если будете делать его идеальным
>клик
- "10.Поражение тоже считается завершённостью. Совершайте ошибки."
- если у вас не вышло написать программу, то вы всё ещё в выйгрыше, вы узнали что-то новое и в следующий раз сделаете лучше.
- Какой подход лучше - решать исключительно вам.
- What was more unexpected - how owncloud reacts. Besides creating bruteforcer, I wrote DOS. When I tested in lab 100% CPU
>клик
>small wait
- I tell ablout bugs so you understand errors = normal. they make you better. do mistakes
- you can check prog in this QR + that's how it works
>клик
>30s wait
# Выводы
>клик
- резумируем доклад. Вы сегодня узнали:
>клик
- Узнали про OpenSource, виды лицензий и Free Software
>клик
- Узнали что будет если написать революционный хакерский инструмент
>клик
- узнали как сделать свой первый OpenSource проект, а это:
>клик
- сделать Git репозиторий,
>клик
- составить план разработки,
>клик
- выставить приоритеты для функций программы,
>клик
- разделить их на самые малые шаги,
>клик
- и начать писать
## Community track блиц
>клик
- А теперь небольшой Community track блиц:
>клик
- 1) Чего не хватает в современных профессиональных сообществах?
- openness. pentesters don't share their methodology and when use them. Especially in short form. I lack it so I write my own and will share in blog
>клик
- 2) Представь, что проекты, которые ты описал в докладе не были созданы. Как бы ты решал исходную задачу?
- i talked about metasploit,git,golang+owncloud_bruteforcer
- metasploit made ИБ. if no history changes - I would use exploit-db - same exploits
- no git - collaboration hell. I would use nextcloud + btrfs snaps
- No go - write in C++/python -> Rust
- no owncloud_bruteforcer - I would write script with curls.
>клик
- 3) Какой open source проект тебе хотелось бы создать если будет больше времени/ресурсов?
- I already write this prog, but due to доклад он на паузе, Ruina - моя автоматизация Recon'a для пентеста. Как допишу до v1 вкину в блог
- Вы можете оставить фидбек для меня, а также найти транскрипцию доклада, и материалы к ней по QR коду далее
## Final
>клик
- И раз уж вы все досмотрели этото доклад до конца, вы обязаны выполнять условия лицензии, я зачитаю несколько из секции 7.
- Будьте этичными хакерами
- Делитесь исходным кодом своих программ
- Позвоните маме и сделайте комплимент.
> small wait
> клик
- источники
> клик
- Спасибо за внимание!
> wait until applause fin
> клик