Accueil 2022 Page 3

Archives annuelles : 2022

The Hive & Cortex et installation Docker…

Posté le de Aucun commentaire ↓

Bonjour à tous, je me suis rendu compte que je ne vous ai jamais parlé du projet The Hive & Cortex. Et comme je refait un peu de docker ces derniers temps, je trouve que c’est l’occasion de vous faire un petit tuto sur The Hive.

Rappel des articles de la série « Docker et Portainer » :

The Hive, c’est quoi ?

The Hive est une plateforme open-source de réponse à incident. Open Source jusqu’en version 4, … Lire la suite

Déplacer le curseur de la souris en PowerShell

Posté le de Aucun commentaire ↓
Déplacer le curseur de la souris en PowerShell

Bonjour à tous, aujourd’hui je voulais vous partager un bout de script qui permet de déplacer le curseur de la souris en PowerShell. Ça parait bête, mais c’est bien pratique pour faire des blagues potaches à vos collègues, combiner avec des ruber ducky, ou faire des pièces jointes piégées à base de Macro Office. Voir simplement placer la souris à un endroit particulier dans un script avec une IHM…

Add-Type -AssemblyName System.Windows.Forms
while ($true){
  $Pos = [System.Windows.Forms.Cursor]::Position
  $x = ($pos.X % 500) + 10
  $y = ($pos.Y % 500) + 10
  [System.Windows.Forms.Cursor]::Position = New-Object System.Drawing.Point($x, $y)
  Start-Sleep -Seconds 10
}
Déplacer le curseur de la souris en PowerShell

D’ailleurs et dans la même veine, vous pouvez utiliser les objets COM pour simuler la saisie de touches au clavier hein. C’est bien pratique quand vous voulez faire des démonstrations de charges malveillantes dans des macros piégés.

Par exemple, vous créez une Macro « moisie » comme je le fait dans mon livre mais au lieu d’ouvrir un canal de contrôle-commande vers un PowerShell Empire, vous ouvrez un notepad.exe, changez le focus pour mettre le bloc note devant, et faite écrire un texte de sensibilisation dedans. Effet garantie.

$wshell = New-Object -ComObject wscript.shell
$wshell.AppActivate('Bloc-note')
Sleep 1
$wshell.SendKeys('Geek!!!')
Simuler des frappes clavier en PowerShell

Voilà, maintenant vous … Lire la suite

Interception/déchiffrement du TLS 1.3

Posté le de 4 commentaires ↓

Bonjour à tous, Il n’y a pas longtemps, on m’a demandé pourquoi faire de l’interception/déchiffrement du TLS 1.3, ça pouvait être « compliqué » comme je le disais. J’avais en tête le truc dans les grandes lignes avec en particulier le fait que le SNI passait désormais dans le handdshake chiffré par TLS, rendant plus compliqué l’interception des clés des certificats associés à la communication.

C’était un peu léger comme explication, je me basais surtout sur mes expériences avec TLS la lecture de ce papier de Symantec/Broacom sur le sujet. Néanmoins c’était une vue très bas niveau du sujet. Puis en commençant mes recherches pour vous écrire un article sur le sujet, je suis tombé sur cet article de Vladimir Kolla :

TLS 1.3, ESNI, DoH, interception… ce n’est pas si compliqué 😉

https://greenlock.ghost.io/tls-1-3/

Et puis je me suis dis qu’il y avait pas grand chose à dire de plus en fait là…

Son article est juste nickel, s’il était en Creative Commons, je vous l’aurais bien remis « as-it » sur mon blog mais bon tant pis, je me contenterai de la ref. Du coup son post fait aussi référence au No Limit Secu sur TLS 1.3, qui … Lire la suite

The percentage of small buckets… – Splunk

Posté le de 2 commentaires ↓

Bonjour à tous, aujourd’hui je vous partage un bug que j’ai rencontré avec un instance Splunk il y a quelques temps de ça. L’erreur en question était celle-ci : « The percentage of small buckets (40%) created over the last hour is high and exceeded the yellow thresholds (30%) for index« . J’ai mis un moment à la détricoter.

The percentage of small buckets (40%) created over the last hour is high and exceeded the yellow thresholds (30%) for index

Après quelques recherches (ici, ), j’ai fini par identifier la root-cause : des logs sui arriveraient avec « trop de retard » par rapport à leur date réelle d’émission. Ce délai forcait Splunk, qui range les données dans les Bucket de manière temporellement ordonnée, à recréer des bucket pour ces évènements car ceux correspondant à cette plage temporelle avaient été fermés.

A la recherche des logs pétés

A partir de mon erreur, je me lance donc dans le SPL ci-dessous et effectivement j’ai bien une des sources de logs qui arrivent avec des latences pas normales.

index=<monindex>
| eval latency=_indextime-_time
| stats min(latency),
max(latency),
avg(latency),
median(latency)
by index sourcetype host
| sort - "avg(latency)"
The percentage of small buckets (40%) created over the last hour is high and exceeded the yellow thresholds (30%) for index

Du coup j’ai gratté un peu sur l’hôte en question et il s’avère qu’on a régulièrement des grosses latence à l’indexation, à … Lire la suite