BackBox 4.2 is out! Ecco come aggiornare la release…

Oggi ho avuto l’immenso piacere di leggere che è uscita la release 4.2 della distribuzione BackBox 4.2 made in italy orientata al penetration testing! Oltre al sito ufficiale, l’annuncio è stato rilasciato sul sito (OverSecurity) di uno dei membri del BackBox Team: Andrea Draghetti Le novità più importanti sono le seguenti: Changelog Preinstalled Linux Kernel 3.16 New Ubuntu 14.04.2 base Ruby 2.1 Installer with LVM and Full Disk Encryption options Handy Thunar custom actions RAM wipe at shutdown/reboot System improvements Upstream components Bug corrections Performance boost Improved Anonymous mode Predisposition to ARM architecture (armhf Debian packages) Predisposition to BackBox Cloud platform New and updated hacking tools: beef-project, crunch, fang, galleta, jd-gui, metasploit-framework, pasco, pyew, rifiuti2, setoolkit, theharvester, tor, torsocks, volatility, weevely, whatweb, wpscan, xmount, yara, zaproxy Upgrade Andrea, oltre a riferire le ultime modifiche, ha rilasciato una mini-guida per aggiornare BackBox dalla versione 4....

April 27, 2015 · 2 min · claudio

Come limitare gli utenti ssh ad un singolo comando

Introduzione Oggi mi sono trovato nella necessità di dover utilizzare un utente, tramite protocollo ssh, per eseguire un singolo e semplice comando da remoto verso un server linux. Per ragioni di sicurezza mi sono chiesto se esistesse la possibilità di limitare tale utenza all’esecuzione di un unico programma, senza ricorrere a jail (chroot) o shell “castrate” di terze parti. Googolando e leggendo il man di ssh ho scoperto una soluzione facile e carina:...

April 27, 2015 · 5 min · claudio

Simple WordPress Xml-rpc Brute Force written in bash with cURL

Simple WordPress Xml-rpc Brute Force written in bash with curl #!/bin/sh ##################### # # # Scripted By : Claudio Viviani # http://www.homelab.it # http://adf.ly/1F1MNw (Full HomelabIT Archive Exploit) # http://ffhd.homelab.it (Free Fuzzy Hashes Database) # # [email protected] # [email protected] # # https://www.facebook.com/homelabit # https://twitter.com/homelabit # https://plus.google.com/+HomelabIt1/ # https://www.youtube.com/channel/UCqqmSdMqf_exicCe_DjlBww # ##################### url=$1 user=$2 wordlist=$3 if [ -z "$wordlist" ]; then echo "Usage: $0 http://TARGT username wordlist.txt" exit 1 elif [ !...

April 15, 2015 · 1 min · claudio

How to install Faraday Community Edition on BackBox Linux 3

Tested on: Faraday Community Edition BackBox Linux 3.x x86_64 Download Faraday claudio@backbox3:~$ wget https://github.com/infobyte/faraday/archive/master.zip Install requirements claudio@backbox3:~$ sudo pip install psycopg2 Downloading/unpacking psycopg2 Running setup.py egg_info for package psycopg2 Installing collected packages: psycopg2 Running setup.py install for psycopg2 Successfully installed psycopg2 Cleaning up... claudio@backbox3:~$ Modify installation script claudio@backbox3:~$ unzip master.zip claudio@backbox3:~$ cd faraday-master/ claudio@backbox3:~/faraday-master$ ls apis AUTHORS config data deps exporters faraday.py gui install....

October 11, 2014 · 2 min · claudio

IPFire Cgi Web Interface Authenticated Bash Environment Variable Code Injection exploit

[claudio@localhost ~]$ python ipfire_cgi_shellshock.py ___ _______ _______ __ _______ __ | | _ | _ |__.----.-----. | _ .-----|__| |. |. 1 |. 1___| | _| -__| |. 1___| _ | | |. |. ____|. __) |__|__| |_____| |. |___|___ |__| |: |: | |: | |: 1 |_____| |::.|::.| |::.| |::.. . | `---`---' `---' `-------' _______ __ __ __ _______ __ __ | _ | |--.-----| | | _ | |--....

September 29, 2014 · 1 min · claudio