One day in May 2017, computers all around the world suddenly shut down. A malware called WannaCry asks for a ransom. The epidemic suddenly stops, because a young, British researcher finds a killswitch, by accident.
Sunday, October 27, 2019
Tuesday, October 15, 2019
Avoid Lagging VirtualBox Guest With Linux
You may found Linux VirtualBox guest lagging on audio with video playback and slow performance on the whole guest. The culprit is audio driver that you even do not believe in.
Set the audio controller to "Intel HD Audio" and driver to "ALSA Audio Driver" to solve the problem on Ubuntu Host. I well tested this setting on the following environments :
(1) Ubuntu Desktop 19.04 Host with Ubuntu Desktop 19.04 Guest
(2) Ubuntu Desktop 19.04 Host with Kali Linux Rolling Guest
(3) MacOS Catalina Host with Ubuntu Desktop 19.04 Guest (CoreAudio and Intel HD Audio)
That's all! See you.
Set the audio controller to "Intel HD Audio" and driver to "ALSA Audio Driver" to solve the problem on Ubuntu Host. I well tested this setting on the following environments :
(1) Ubuntu Desktop 19.04 Host with Ubuntu Desktop 19.04 Guest
(2) Ubuntu Desktop 19.04 Host with Kali Linux Rolling Guest
(3) MacOS Catalina Host with Ubuntu Desktop 19.04 Guest (CoreAudio and Intel HD Audio)
That's all! See you.
Saturday, October 12, 2019
bossplayersCTF : 1
Aimed at Beginner Security Professionals who want to get their feet wet into doing some CTF's. It should take around 30 minutes to root.
Download : https://www.vulnhub.com/entry/bossplayersctf-1,375/
Difficulty : Beginners
Format : OVA (VirtualBox)
To find the IP address of the box in the network by running nmap.
Further scan all ports of the box.
The website is running on port 80.
Check the source code of the page and found a hash at the bottom of the page.
Suspected that the hash is base64 decoded. Try to decode it.
After the decoding, the result is "workinprogress.php". Let's browse it.
The page says that "test ping command". Let's test it for "cmd" parameter.
The command is executed. To pawn a reverse shell.
To find if there is any file with sticky bit.
The result is "find". Try to privilege escalation.
Decode the "root.txt". Root is dancing!
After thought
It is a traditional Capture The Flag (CTF) box with base64 decode and sticky bit searching. Recommended.
Samiux
OSCE OSCP OSWP
October 12, 2019, China, Hong Kong
Friday, October 11, 2019
Hacker Fest 2019
The machine was part of Martin Haller workshop for Hacker Fest 2019 at Prague. There are two ways to exploit it.
Download : https://www.vulnhub.com/entry/hacker-fest-2019,378/
Difficulty : Beginners
Format : OVA (VirtualBox)
To find the IP address of the box in the network by running nmap.
Further scan all ports of the box.
Solution #1
There is a webmin running on port 10000 with SSL. The version is 1.890. This version is vulnerable to remote command execution by a backdoor as root (http://www.webmin.com/exploit.html).
To launch Metasploit.
Select "exploit/unix/webapp/webmin_backdoor".
Run "exploit" and got root.
However, you cannot go to other directories.
Run "shell" to get an interactive shell.
Go to "/root" and got the "flag.txt". Root is dancing!
Solution #2
It is running a Wordpress site at port 80.
Run "wpscan" to check. Since I do not have API token, the vulnerabilities cannot be shown.
It reports "wp-google-maps" plugin is out of date. The version may be 7.10.02 as "wpscan" do not sure. This plugin may be vulnerable to SQL injection with CVE-2019-10692 (https://www.cybersecurity-help.cz/vdb/SB2019040604?affChecked=1).
Launch Metasploit.
Select "auxiliary/admin/http/wp_google_maps_sqli".
Run "run" and got the hash of the "webmaster" account.
To brute force the password of "webmaster" with "john" and "rockyou.txt". Then got the password.
Then login to the box with "ssh" with the getting username and password. To privilege escalation with "sudo" and got the "flag.txt". Root is dancing!
After thought
It is a real case scenario and without tricky like Capture The Flag (CTF). Recommended.
Samiux
OSCE OSCP OSWP
October 11, 2019, China, Hong Kong
Tuesday, October 08, 2019
HOWTO : Install Metasploit Framework 5.0.53 on Ubuntu Desktop 19.04
Install dependencies :
Download the installer :
Run the installer :
Initialize the msfdb :
or
You may need to answer two questions about setting up web version of Metasploit Framework.
Run the Metasploit Framework :
or
Stop database :
That's all! See you.
sudo apt -y install curlDownload the installer :
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
chmod +x msfinstallRun the installer :
./msfinstallInitialize the msfdb :
msfdb initor
msfdb reinitYou may need to answer two questions about setting up web version of Metasploit Framework.
Run the Metasploit Framework :
msfdb startor
msfdb restartmsfconsoleStop database :
msfdb stopThat's all! See you.
Sunday, September 15, 2019
Yet Another Way Of NoCloudAllowed
There are many reason to find the origin IP address of a web server. For example, to bypass cloud based DDoS protection services, to locate all the load balance servers and etc. There are a lot of methods in the net to do so as long as the cloud based serivce is misconfigured.
The most stupid way to find the origin IP address of a web server is by scanning all IP addresses in that city or service provider. It is a time consuming method and is very low efficiency. However, it is the most possible way to find the origin IP address.
In 2013, Ms Allison Nixon of Integralis gave a speech at BlackHat USA 2013 conference to introduce this method. She prepared a perl script for the PoC, namely NoCloudAllowed. The talk is at the following video.
Since her site has been down for years, the perl script is no longer available now. Her idea is presented in Python way again by Samiux in 2015 and it is modified recently (2019). It is an open source project namely Chameleon.
Chameleon simpified the idea of Allison's. It only search for a string to see if the front page in that IP address is containing or not. Chameleon scans 170,000 IP addresses in about 45 minutes with less computer resources.
However, if the site is not pointed to the root directory of the server or the site is not allowed to be accessed by IP address url, Chameleon cannot find it out. The most headache thing is that you need to guess what the origin IP address is situated in what IP range.
Reference
BlackHat 2013 - Denying Service to DDoS Protection Services
Chameleon 变色龙 - Website IP Address Seeker
That's all! See you.
The most stupid way to find the origin IP address of a web server is by scanning all IP addresses in that city or service provider. It is a time consuming method and is very low efficiency. However, it is the most possible way to find the origin IP address.
In 2013, Ms Allison Nixon of Integralis gave a speech at BlackHat USA 2013 conference to introduce this method. She prepared a perl script for the PoC, namely NoCloudAllowed. The talk is at the following video.
Since her site has been down for years, the perl script is no longer available now. Her idea is presented in Python way again by Samiux in 2015 and it is modified recently (2019). It is an open source project namely Chameleon.
Chameleon simpified the idea of Allison's. It only search for a string to see if the front page in that IP address is containing or not. Chameleon scans 170,000 IP addresses in about 45 minutes with less computer resources.
However, if the site is not pointed to the root directory of the server or the site is not allowed to be accessed by IP address url, Chameleon cannot find it out. The most headache thing is that you need to guess what the origin IP address is situated in what IP range.
Reference
BlackHat 2013 - Denying Service to DDoS Protection Services
Chameleon 变色龙 - Website IP Address Seeker
That's all! See you.
Friday, September 06, 2019
Monday, September 02, 2019
Thursday, August 29, 2019
2019-08-28 時事觀察 第2節:霍詠強 -- 誠實面對自己、認真面對暴力抗爭
20190828 霍詠強
2. 誠實面對自己、認真面對暴力抗爭
不久前中國新聞社發出了一條視頻報導,內容訪問了貨車司機陳先生,他在7月21日在中環因為遭到暴徒搗亂、攔截車道時,向示威者表示不滿,卻被圍毆,新購置不久的貨 Van ,也被暴徒徹底破壞,損失十多萬元。但事後由於許多人同情陳師傅的遭遇,紛紛捐款資助,結果非但足夠彌補損失,更有剩餘的捐款,他就轉贈其他在這段期間受暴力對待的人士。他在訪問中更表示希望能和抗爭者好好討論,因為正面、負面都在一念之間!
因為這段訪問,本來想要對抗爭者好好說一說,不過,看到了暴徒如何瘋狂地攔截懸掛國旗的士,把國旗撕下丟到地上,估計和不理智者講理智比「對牛彈琴」更無用,因此還是要對自己誠實,留啖氣暖肚。
雖然,今時今日要「誠實面對自己」其實很難。政府必須對自己誠實。政府對外的態度應該更直接,因為信任已經不存在。想要和抗爭者討論?應該明白完全不可能,五大苛求、那項真接受? 何況,現世代也不需要聆聽?聽到的不一定是真的?也不一定是心裡話?該聽誰的?倒不如相信科技,用大數據分析輿情吧! 在現時的極端化社會,已經不可能平衡所有人,現實些,聽信支持者、願意相信政府的,所謂溝通平台也只對他們有作用。現實上,政府內部、決策機構、主要建制持份者,都已經離心離德,政府必須做的是要統一內部,該走的、就要送走。
應對暴力環境、要快速清場:
1.設置暴動區域警示和禁制,要求市民離開。
2.記者登記,分派能明確識別傳媒身分的衣著,是人是鬼?一目瞭然。
建制派應該衡量什麼能接受,平衡社會不是你的責任,最重要是保護好你的支持者。特別是商界,中央政府是認為有共同利益,穩定社會,如果以為可以趁亂爭權、鞏固影響力?下場會好慘。香港貧富懸殊已經好可怕,不要說瓜早就沒得摘、連草都沒多少,快寸草不生了。
平常人不能隨波逐流,最好彩香港的經濟也要倒退十年。信心很難恢復,特別是安全和穩定,需要長時間的證明,而這要付出的代價,有你一份。所以,就算不用也不想大聲叫「唔好」,最少也說明「我不認同」,也不需要爭論,其實他們明白的。除下了口罩,他們比你更軟弱。
抗爭者請不要再說什麼黑警了,因為真不合邏輯?如果真認為是黑警?還打什麼電話報警求助?集會遊行申請什麼不反對通知書?警察其實和你們追求的理想,一點關係都沒有。
好激的年輕人,現實版的 GTA 好玩,War game 好勁,保護市民很自豪,但香港真有多少人支持你?你懂嗎?為什麼不敢和父母說?以為他們不知道?家人不想撕破臉吧!敢說的,為什麼父母沒什麼反應?遊戲再好玩、也玩夠了,也不會有任何結果,命得一條,別忘記,烏克蘭到最後出現嚴重傷亡,都是遠距離暗殺的!以現時香港的司法形勢,被捕了、入罪的刑罰的確也不高,表面上也沒多少法律責任,但是,請記著,沒有多少學校、公司、國家會真心接受一個搞事的暴徒。
和理非是抗爭者當中的主流,常跟聽到說大都說保護法治?現在香港還有法治嗎? 沒有想要港獨?只想回到從前的自由法治?想清楚你要什麼?要什麼自由?要什麼民主?別再說真普選,中央政府已經失去了信任,自治權只會收緊,不會放鬆。
別再騙自己,五大苛求,到底要什麼?現在已經無法管治,那要怎样別説只要自治?當走上街説缺一不可……趕快割席吧?中文較好的,應該知道「割席斷交」這個典故,不割席意思是「同流合污」,而不是「大仁大義」。無謂再推人落火坑!
至於搞長洲革命基地、推翻政府、驅逐中國人那些朋友,沒有什麽可説了,盡快去睇醫生吧。
Wednesday, August 28, 2019
如何成為黑客 (進階篇)
你要有一件有帽的黑色外套和一個 V 剎面具。只是說笑吧了!
首先,你需要有使用 Linux 系統的經驗,因為大部份的滲透測試工具都是在 Linux 上運行。我個人認為使用現有的滲透測試 Linux 發行版本較為方便,例如 Kali Linux、Parrot Security OS、BlackArch Linux 等。再者,你亦都需要對其他的作業系統有較深入的了解和認識。
你亦需要有編程的能力,如 Python、PHP、C、JavaScript 等。因為有時遇到一些難題是需要黑客自己編寫一些脚本或程式來解決,有時又要對源碼作出審核,所以編程能力是非常重要的。
在電腦硬體方面,我建議一部比較快、內存比較多和容量較大的電腦或筆記本電腦。這部電腦亦需要有一張比較強的遊戲顯示卡,目的是用來破解密碼和哈希值等。如果要作無綫網絡滲透測試的話,你需要一個外置的,而且可以作滲透測試用的無綫網卡。要知道的是,不是所有的無綫網卡都可作滲透測試用途。
其次,你需要有一顆鍥而不捨和永不放棄的心。因為在滲透測試的過程中,並不像電影中的主角一樣順利和容易,你有可能會遇上困難,所以你不可以因為灰心而放棄。你亦需要有一顆尋根究底的心,因為你有可能會遇見一些你從未遇過的問題和情況,你要想盡法子去了解這是甚麼一回事。更重要的是,你要有一個沒有框框的思維,正所謂 Think Out Of Box。因為黑客的思維是無遠弗屆,不為既定的思維方式而有所限制。
你要有追求知識的心態,因為每天都有新的技術出現和有新的漏洞被發現,所以這類知識有如排山倒海地出現。你需要大量的時間和精力來了解及吸收這些新事物,要不斷地充實自己,古語有云 :「不進則退」。
最後,你的情緒智商亦要相當高,不會因為突然出現任何情況,而有所波動。你亦需要有撰寫報告的習慣和能力,因為每次的滲透測試都需要撰寫報告。所以要成為一名黑客並非想像中的容易。
Samiux
OSCE OSCP OSWP
寫於二零一九年八月廿八日,中國香港
2019-08-26 時事觀察 -- 余非
08262019 時事觀察第1節:余非 -- 該怎看,「香港特區政府沒作為」?
08262019 時事觀察第2節:余非 -- 他們的「革命」怎麼都「革」到保安身上了?
Thursday, August 22, 2019
Sunday, August 18, 2019
Wednesday, August 14, 2019
【#點播】獨家專訪保護受傷人士的外國記者 Richard Scotford
Hong Kong International Airport - August 13, 2019
One visitor was attacked by over 100 rioters at Hong Kong International Airport. Later, those rioters obstructed the ambulancemen for first-aid.
Original : DotDotNews
Tuesday, August 13, 2019
Saturday, August 03, 2019
連登 lihkg.com 硏究與分析 (更新版本)
連登 lihkg.com 硏究與分析
(更新版本)
連登討論區近月在網上組織及散播反中國香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。
連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。
其伺服器的供應商是 Digital Ocean,一共有兩個伺服器,其中一個是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。而另一個是位於新加坡 (Singapore),而網絡地址為 206.189.86.198。可以從 http://206.189.86.198 前往證實。但印度的伺服器是主要的伺服器,另一個相信是用來作跳轉或負載平衡用途。
連登擁有多個副域名 (Subdomain),她們是 amp.lihkg.com,may-web-31.lihkg.com,www.lihkg.com 和 x.lihkg.com。除此之外,還有 lih.kg 網址。
其網頁伺服器 (Web Server) 是 Nginx,其中一個版本不詳,另一個版本為 1.12.2。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。
主伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。副伺服器共有 22,80,443,111及 8080 五個端口開放。
22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。但這兩個漏洞對入侵方面,並沒有起很大的作用。
至於 443 端口在主伺服器是由 Cloudflare 提供,並可從 80 及 9000 端口跳轉。
3000 端口是一個入口,是用 React.js 編寫,從標題中估計是用來管理廣告的,而 9000 端口為 Express node.js 框架 (Framework),是網站的編程主要語言。所以,連登是由 JavaScript 編寫的。
其 3000 端口,似乎對網頁請求方面的阻斷服務攻擊免疫。9000 端口是被 Cloudflare 保護的,所以任何形式的阻斷服務攻擊都未能湊效,除非攻擊流量極之大。
而 80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。
至於副伺服器的 80,443 和 8080 端口是用來跳轉到主伺服器的。
如果在 443 端口進行網頁漏洞攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆保護。況且,暫時仍未有發現在網頁上存有漏洞。
相信管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。
如果要進一步檢視連登,是需要注册成為用戶,方可繼續進行。可是,該站需要網絡供應商、大學或大專院校的認證電郵地址方能注册成為會員。
最後,如果警方或政府可以攔截或堵塞其域名和副域名,甚至網絡地址的話,相信其黨羽並不能在短期內取得有關行動的訊息,從而減低其組織性和破壞性。
其他相關資料 :
谷歌廣告戶口是 :
Google AdSense ca-pub-3240616428100660
根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。
谷歌網站流量分析戶口是 :
Google Analytics UA-87624244-4
搜尋器指引
https://lihkg.com/robots.txt
用戶前台入口
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月三日,中國香港
最新消息 (二零一九年八月五日,中國香港)
意想不到地,連登的主持人也看我的博客。他們立即更改其虛擬私人伺服器 (VPS),認真是懦夫!我以為他們是天不怕地不怕的?!失望中!
若果大家暫時未能找到她們的網絡地址的話,不要灰心,因為其收入來源是經谷歌廣告,其谷歌廣告戶口可以追查得到其持有人。
再者,網絡地址對網站入侵作用並不大。所以將網站網絡地址隱藏,並沒有多大的意思。
其網站所使用的加密證書 (SSL Certificate) 是由 Cloudflare 提供的。伺服器並沒有自己的加密證書,所以我們會很容易繞過 Cloudflare 的防火牆。若果其網站有自己的加密證書,繞過 Cloudflare 的防火牆也亦不困難。
至於防火牆,Cloudflare 是使用改良版本的 modsecurity。其實,modsecurity 不是那麼完美的。
最新消息 (二零一九年八月六日,中國香港)
經過連日來的觀察所得,連登是一個一連串暴力和破壞事件的指揮及聯絡中心,他們會在連登上頒佈指令,提供現場實況給暴徒參考,及在資源上的調配。
他們會在連登裏公佈 Telegram「用完即棄」的谷 (Group) 方便計對特定的行動上的聯絡和指揮。但是,不是所以暴徒都知道有這個安排。他們建議所有暴徒在 Telegram 谷內隱藏電話號碼和其資料,所以有甚麼人參與那些谷,他們是不清楚的。
暴徒組織嚴謹,有攻擊小隊、偵察小隊、物資供應小隊、集會大隊等,當中也不乏戲子呢!
所以,連登創辦人「望遠」 (Profile ID 3) 等,提供平台給暴徒進行暴力襲擊事件,而不加以阻止,他們在這一連串暴力和破壞事件中是責無旁貸的。
最新消息 (二零一九年八月十一日,中國香港)
連登的論壇現在是寄存在亞馬遜雲端,而且具有電郵伺服器的功能,其主域名部份資料為 :
s1._domainkey.lihkg.com - s1.domainkey.u4005023.wl024.sendgrid.net
s2._domainkey.lihkg.com - s2.domainkey.u4005023.wl024.sendgrid.net
mandrill._domainkey.lihkg.com - "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRMAocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWBcPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB;"
mx._domainkey.lihkg.com - "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYjURk53r/mHevsulTXdxLHAguJ/I/Z+N3YwSpLutuMrNFSIpRPNUTDe1JE+ihMaa+2hY9g+b2LMDSGfO04n8FxAreJXD8RS/SxWBBL+xcIXKsgrd2PbR8S4DdNZNeHCD9OntyTbgPpNNOEuJp+0xPJ+1VfVjpDXxFzTDgdRcQiwIDAQAB"
_acme-challenge.lihkg.com - "ZHEbpsejbIDZINtxutN-VUEGe_VHUx4i5NB32ZWx6eo"
_amazonses.lihkg.com - "E4EPJITK7/pdJy4edQ6oXLZ+0R7GLVp3NG9zauUs/Qw="
lihkg.com - "google-site-verification=q9ZG1rQjq0RIDQhhszFdVuKsS01VSsDukzxpkxr0Xe4"
lihkg.com - "v=spf1 include:mailgun.org include:spf.mandrillapp.com ~all"
最新消息 (二零一九年八月廿二日,中國香港)
連豋在亞馬遜雲端的地址為 http://lihkg-demo.s3.amazonaws.com/index.html,而它是寄存在日本東京 http://lihkg-demo.s3-ap-northeast-1.amazonaws.com/index.html。相信其在 Digital Ocean 的伺服器仍然存在,只是有防火牆之類保護,不能以網絡地址存取。
最新消息 (二零一九年八月三十一日,中國香港)
今早連登聲稱被阻斷服務攻擊,其後聲稱已經採取緊急措施,所以其供手機軟體的伺服器回復正常,但網頁版不受影響,因為其網頁版是受 Cloudflare 的保護。其實它的所謂緊急措施是攔截了所有香港以外的網絡地址存取手機軟體版伺服器罷了。
參考網址 : https://lihkg.com/thread/1520611/page/1
1758 時更新
連豋現在 Cloudflare 設定為 Under Attack,它會檢查瀏覽者是否用真實的瀏覽器。所以它仍然可以以瀏覽器存取。
1812 時更新
現在相信只有 Cloudflare 的網絡地址方可用瀏覽器瀏覽。
參考網址 : https://www.cloudflare.com/ips/
1916 時更新
手機軟體伺服器現在只接受香港的網絡地址。網頁版現在取消了檢查瀏覽器方案。
最新消息 (二零一九年九月一日,中國香港)
現在連登網頁版需要輸入 reCAPTCHA 方可瀏覽,而手機軟體版本沒有此要求。再者,相信手機軟體版本伺服器只接受 Cloudflare 的網絡地址,其他的網絡地址不能存取。
可是,現在的連登已經不能同日而語了。
最新消息 (二零一九年九月五日,中國香港)
連登亦有兩個遊戲伺服器運行 Left 4 Dead 2 遊戲 2.1.5.5 版本,其開放端口為 UDP 27016,作業系統是視窗,其網絡服務供應商為香港寬頻,網絡地址分別為 123.202.166.243 及 210.6.189.36。而地圖分別為 c2m1_highway 及 c5m1_waterfront。
現在香港的執法人員是可以經香港寬頻追查得知連登的幕後主腦是誰了。
相信她還有一個網絡地址是 185.170.209.70。
(更新版本)
連登討論區近月在網上組織及散播反中國香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。
連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。
其伺服器的供應商是 Digital Ocean,一共有兩個伺服器,其中一個是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。而另一個是位於新加坡 (Singapore),而網絡地址為 206.189.86.198。可以從 http://206.189.86.198 前往證實。但印度的伺服器是主要的伺服器,另一個相信是用來作跳轉或負載平衡用途。
連登擁有多個副域名 (Subdomain),她們是 amp.lihkg.com,may-web-31.lihkg.com,www.lihkg.com 和 x.lihkg.com。除此之外,還有 lih.kg 網址。
其網頁伺服器 (Web Server) 是 Nginx,其中一個版本不詳,另一個版本為 1.12.2。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。
主伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。副伺服器共有 22,80,443,111及 8080 五個端口開放。
22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。但這兩個漏洞對入侵方面,並沒有起很大的作用。
至於 443 端口在主伺服器是由 Cloudflare 提供,並可從 80 及 9000 端口跳轉。
3000 端口是一個入口,是用 React.js 編寫,從標題中估計是用來管理廣告的,而 9000 端口為 Express node.js 框架 (Framework),是網站的編程主要語言。所以,連登是由 JavaScript 編寫的。
其 3000 端口,似乎對網頁請求方面的阻斷服務攻擊免疫。9000 端口是被 Cloudflare 保護的,所以任何形式的阻斷服務攻擊都未能湊效,除非攻擊流量極之大。
而 80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。
至於副伺服器的 80,443 和 8080 端口是用來跳轉到主伺服器的。
如果在 443 端口進行網頁漏洞攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆保護。況且,暫時仍未有發現在網頁上存有漏洞。
相信管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。
如果要進一步檢視連登,是需要注册成為用戶,方可繼續進行。可是,該站需要網絡供應商、大學或大專院校的認證電郵地址方能注册成為會員。
最後,如果警方或政府可以攔截或堵塞其域名和副域名,甚至網絡地址的話,相信其黨羽並不能在短期內取得有關行動的訊息,從而減低其組織性和破壞性。
其他相關資料 :
谷歌廣告戶口是 :
Google AdSense ca-pub-3240616428100660
根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。
谷歌網站流量分析戶口是 :
Google Analytics UA-87624244-4
搜尋器指引
https://lihkg.com/robots.txt
用戶前台入口
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月三日,中國香港
最新消息 (二零一九年八月五日,中國香港)
意想不到地,連登的主持人也看我的博客。他們立即更改其虛擬私人伺服器 (VPS),認真是懦夫!我以為他們是天不怕地不怕的?!失望中!
若果大家暫時未能找到她們的網絡地址的話,不要灰心,因為其收入來源是經谷歌廣告,其谷歌廣告戶口可以追查得到其持有人。
再者,網絡地址對網站入侵作用並不大。所以將網站網絡地址隱藏,並沒有多大的意思。
其網站所使用的加密證書 (SSL Certificate) 是由 Cloudflare 提供的。伺服器並沒有自己的加密證書,所以我們會很容易繞過 Cloudflare 的防火牆。若果其網站有自己的加密證書,繞過 Cloudflare 的防火牆也亦不困難。
至於防火牆,Cloudflare 是使用改良版本的 modsecurity。其實,modsecurity 不是那麼完美的。
最新消息 (二零一九年八月六日,中國香港)
經過連日來的觀察所得,連登是一個一連串暴力和破壞事件的指揮及聯絡中心,他們會在連登上頒佈指令,提供現場實況給暴徒參考,及在資源上的調配。
他們會在連登裏公佈 Telegram「用完即棄」的谷 (Group) 方便計對特定的行動上的聯絡和指揮。但是,不是所以暴徒都知道有這個安排。他們建議所有暴徒在 Telegram 谷內隱藏電話號碼和其資料,所以有甚麼人參與那些谷,他們是不清楚的。
暴徒組織嚴謹,有攻擊小隊、偵察小隊、物資供應小隊、集會大隊等,當中也不乏戲子呢!
所以,連登創辦人「望遠」 (Profile ID 3) 等,提供平台給暴徒進行暴力襲擊事件,而不加以阻止,他們在這一連串暴力和破壞事件中是責無旁貸的。
最新消息 (二零一九年八月十一日,中國香港)
連登的論壇現在是寄存在亞馬遜雲端,而且具有電郵伺服器的功能,其主域名部份資料為 :
s1._domainkey.lihkg.com - s1.domainkey.u4005023.wl024.sendgrid.net
s2._domainkey.lihkg.com - s2.domainkey.u4005023.wl024.sendgrid.net
mandrill._domainkey.lihkg.com - "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRMAocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWBcPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB;"
mx._domainkey.lihkg.com - "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYjURk53r/mHevsulTXdxLHAguJ/I/Z+N3YwSpLutuMrNFSIpRPNUTDe1JE+ihMaa+2hY9g+b2LMDSGfO04n8FxAreJXD8RS/SxWBBL+xcIXKsgrd2PbR8S4DdNZNeHCD9OntyTbgPpNNOEuJp+0xPJ+1VfVjpDXxFzTDgdRcQiwIDAQAB"
_acme-challenge.lihkg.com - "ZHEbpsejbIDZINtxutN-VUEGe_VHUx4i5NB32ZWx6eo"
_amazonses.lihkg.com - "E4EPJITK7/pdJy4edQ6oXLZ+0R7GLVp3NG9zauUs/Qw="
lihkg.com - "google-site-verification=q9ZG1rQjq0RIDQhhszFdVuKsS01VSsDukzxpkxr0Xe4"
lihkg.com - "v=spf1 include:mailgun.org include:spf.mandrillapp.com ~all"
最新消息 (二零一九年八月廿二日,中國香港)
連豋在亞馬遜雲端的地址為 http://lihkg-demo.s3.amazonaws.com/index.html,而它是寄存在日本東京 http://lihkg-demo.s3-ap-northeast-1.amazonaws.com/index.html。相信其在 Digital Ocean 的伺服器仍然存在,只是有防火牆之類保護,不能以網絡地址存取。
最新消息 (二零一九年八月三十一日,中國香港)
今早連登聲稱被阻斷服務攻擊,其後聲稱已經採取緊急措施,所以其供手機軟體的伺服器回復正常,但網頁版不受影響,因為其網頁版是受 Cloudflare 的保護。其實它的所謂緊急措施是攔截了所有香港以外的網絡地址存取手機軟體版伺服器罷了。
參考網址 : https://lihkg.com/thread/1520611/page/1
1758 時更新
連豋現在 Cloudflare 設定為 Under Attack,它會檢查瀏覽者是否用真實的瀏覽器。所以它仍然可以以瀏覽器存取。
1812 時更新
現在相信只有 Cloudflare 的網絡地址方可用瀏覽器瀏覽。
參考網址 : https://www.cloudflare.com/ips/
1916 時更新
手機軟體伺服器現在只接受香港的網絡地址。網頁版現在取消了檢查瀏覽器方案。
最新消息 (二零一九年九月一日,中國香港)
現在連登網頁版需要輸入 reCAPTCHA 方可瀏覽,而手機軟體版本沒有此要求。再者,相信手機軟體版本伺服器只接受 Cloudflare 的網絡地址,其他的網絡地址不能存取。
可是,現在的連登已經不能同日而語了。
最新消息 (二零一九年九月五日,中國香港)
連登亦有兩個遊戲伺服器運行 Left 4 Dead 2 遊戲 2.1.5.5 版本,其開放端口為 UDP 27016,作業系統是視窗,其網絡服務供應商為香港寬頻,網絡地址分別為 123.202.166.243 及 210.6.189.36。而地圖分別為 c2m1_highway 及 c5m1_waterfront。
現在香港的執法人員是可以經香港寬頻追查得知連登的幕後主腦是誰了。
相信她還有一個網絡地址是 185.170.209.70。
Friday, August 02, 2019
连登 lihkg.com 硏究与分析
连登 lihkg.com 硏究与分析
连登讨论区近月在网上组织及散播反香港政府及国家的暴乱行动及讯息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我尝试尽我绵力去研究和分析一下。
连登网站受 Cloudflare 保护,网站伺服器地址是被隐藏的。但是她的伺服器网络地址 (IP Address) 已经被找到了。
其伺服器的供应商是 Digital Ocean,伺服器是位于印度 (Bangalore, India),而网络地址为 139.59.125.59。可以从 http://139.59.125.59 前往证实。
其网页伺服器 (Web Server) 是 Nginx,但其版本不详。她是安装在 Linux 系统中,但其 Linux 版本也不详。
其伺服器共有 22,80,111,3000 及 9000 五个端口 (Port) 开放。
22 端口的服务为 OpenSSH 7.4,可能出现漏洞为 CVE-2018-15919 和 CVE-2017-15906。
至于 443 端口是由 Cloudflare 提供,是由 80,9000 端口跳转。
3000 端口是连登网站后台入口,而 9000 端口为 Express node.js 框架 (Framework)。所以,她是由 Express.js 编写。
并且,80 及 9000 端口是跳转到 Cloudflare 的 443 端口。
其 3000 端口,有可能被 Slowloris 阻断服务攻击 (DoS),漏洞编号为 CVE-2007-6750。9000 端口是被 Cloudflare 保护的,所以 Slowloris 未能凑效。
80,443 及 9000 端口有 Cloudflare 的网页防火墙保护。
暂时的攻击面是在后台入口,就是密码爆破和阻断服务攻击。如果是 443 端口网页攻击,难度比较高,因为有 Cloudflare 的网页防火墙。
管理员帐户名称为 LIHKG。其密码有可能是中文也不定。
后台入口就是暂时的攻击面,其地址为:
http://139.59.125.59:3000
最后,其网站域名在域名伺服器 (DNS) 中,如果可以被拦截或堵塞的话,想信其党羽并不能取得有关行动的讯息,从而减低其组织性和破坏性。
其他相关资料:
谷歌广告户口是:
Google AdSense ca-pub-3240616428100660
根据谷歌的广告户口,可以经谷歌追查该户口的持有人及其银行帐户资料。
谷歌网站流量分析户口是:
Google Analytics UA-87624244-4
搜寻器指引:
https://lihkg.com/robots.txt
用户前台入口:
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月二日,中国香港
##############################################################
連登 lihkg.com 硏究與分析
連登討論區近月在網上組織及散播反香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。
連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。
其伺服器的供應商是 Digital Ocean,伺服器是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。
其網頁伺服器 (Web Server) 是 Nginx,但其版本不詳。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。
其伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。
22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。
至於 443 端口是由 Cloudflare 提供,是由 80,9000 端口跳轉。
3000 端口是連登網站後台入口,而 9000 端口為 Express node.js 框架 (Framework)。所以,她是由 Express.js 編寫。
並且,80 及 9000 端口是跳轉到 Cloudflare 的 443 端口。
其 3000 端口,有可能被 Slowloris 阻斷服務攻擊 (DoS),漏洞編號為 CVE-2007-6750。9000 端口是被 Cloudflare 保護的,所以 Slowloris 未能湊效。
80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。
暫時的攻擊面是在後台入口,就是密碼爆破和阻斷服務攻擊。如果是 443 端口網頁攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆。
管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。
後台入口就是暫時的攻擊面,其地址為:
http://139.59.125.59:3000
最後,其網站域名在域名伺服器 (DNS) 中,如果可以被攔截或堵塞的話,想信其黨羽並不能取得有關行動的訊息,從而減低其組織性和破壞性。
其他相關資料:
谷歌廣告戶口是:
Google AdSense ca-pub-3240616428100660
根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。
谷歌網站流量分析戶口是:
Google Analytics UA-87624244-4
搜尋器指引:
https://lihkg.com/robots.txt
用戶前台入口:
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月二日,中國香港
连登讨论区近月在网上组织及散播反香港政府及国家的暴乱行动及讯息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我尝试尽我绵力去研究和分析一下。
连登网站受 Cloudflare 保护,网站伺服器地址是被隐藏的。但是她的伺服器网络地址 (IP Address) 已经被找到了。
其伺服器的供应商是 Digital Ocean,伺服器是位于印度 (Bangalore, India),而网络地址为 139.59.125.59。可以从 http://139.59.125.59 前往证实。
其网页伺服器 (Web Server) 是 Nginx,但其版本不详。她是安装在 Linux 系统中,但其 Linux 版本也不详。
其伺服器共有 22,80,111,3000 及 9000 五个端口 (Port) 开放。
22 端口的服务为 OpenSSH 7.4,可能出现漏洞为 CVE-2018-15919 和 CVE-2017-15906。
至于 443 端口是由 Cloudflare 提供,是由 80,9000 端口跳转。
3000 端口是连登网站后台入口,而 9000 端口为 Express node.js 框架 (Framework)。所以,她是由 Express.js 编写。
并且,80 及 9000 端口是跳转到 Cloudflare 的 443 端口。
其 3000 端口,有可能被 Slowloris 阻断服务攻击 (DoS),漏洞编号为 CVE-2007-6750。9000 端口是被 Cloudflare 保护的,所以 Slowloris 未能凑效。
80,443 及 9000 端口有 Cloudflare 的网页防火墙保护。
暂时的攻击面是在后台入口,就是密码爆破和阻断服务攻击。如果是 443 端口网页攻击,难度比较高,因为有 Cloudflare 的网页防火墙。
管理员帐户名称为 LIHKG。其密码有可能是中文也不定。
后台入口就是暂时的攻击面,其地址为:
http://139.59.125.59:3000
最后,其网站域名在域名伺服器 (DNS) 中,如果可以被拦截或堵塞的话,想信其党羽并不能取得有关行动的讯息,从而减低其组织性和破坏性。
其他相关资料:
谷歌广告户口是:
Google AdSense ca-pub-3240616428100660
根据谷歌的广告户口,可以经谷歌追查该户口的持有人及其银行帐户资料。
谷歌网站流量分析户口是:
Google Analytics UA-87624244-4
搜寻器指引:
https://lihkg.com/robots.txt
用户前台入口:
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月二日,中国香港
##############################################################
連登 lihkg.com 硏究與分析
連登討論區近月在網上組織及散播反香港政府及國家的暴亂行動及訊息,而其仍然屹立不倒,不被警方或政府取替。究其原因何在呢? 我嘗試盡我綿力去研究和分析一下。
連登網站受 Cloudflare 保護,網站伺服器地址是被隱藏的。但是她的伺服器網絡地址 (IP Address) 已經被找到了。
其伺服器的供應商是 Digital Ocean,伺服器是位於印度 (Bangalore, India),而網絡地址為 139.59.125.59。可以從 http://139.59.125.59 前往證實。
其網頁伺服器 (Web Server) 是 Nginx,但其版本不詳。她是安裝在 Linux 系統中,但其 Linux 版本也不詳。
其伺服器共有 22,80,111,3000 及 9000 五個端口 (Port) 開放。
22 端口的服務為 OpenSSH 7.4,可能出現漏洞為 CVE-2018-15919 和 CVE-2017-15906。
至於 443 端口是由 Cloudflare 提供,是由 80,9000 端口跳轉。
3000 端口是連登網站後台入口,而 9000 端口為 Express node.js 框架 (Framework)。所以,她是由 Express.js 編寫。
並且,80 及 9000 端口是跳轉到 Cloudflare 的 443 端口。
其 3000 端口,有可能被 Slowloris 阻斷服務攻擊 (DoS),漏洞編號為 CVE-2007-6750。9000 端口是被 Cloudflare 保護的,所以 Slowloris 未能湊效。
80,443 及 9000 端口有 Cloudflare 的網頁防火牆保護。
暫時的攻擊面是在後台入口,就是密碼爆破和阻斷服務攻擊。如果是 443 端口網頁攻擊,難度比較高,因為有 Cloudflare 的網頁防火牆。
管理員帳戶名稱為 LIHKG。其密碼有可能是中文也不定。
後台入口就是暫時的攻擊面,其地址為:
http://139.59.125.59:3000
最後,其網站域名在域名伺服器 (DNS) 中,如果可以被攔截或堵塞的話,想信其黨羽並不能取得有關行動的訊息,從而減低其組織性和破壞性。
其他相關資料:
谷歌廣告戶口是:
Google AdSense ca-pub-3240616428100660
根據谷歌的廣告戶口,可以經谷歌追查該戶口的持有人及其銀行帳戶資料。
谷歌網站流量分析戶口是:
Google Analytics UA-87624244-4
搜尋器指引:
https://lihkg.com/robots.txt
用戶前台入口:
https://lihkg.com/auth/login
https://lihkg.com/login
Samiux
OSCE OSCP OSWP
二零一九年八月二日,中國香港
Monday, July 29, 2019
Sunday, July 28, 2019
Longjing
Longjing is deep learning driven web application firewall based on Scikit-Learn library. The following is the slide in PDF format.
sha256sum 116c66c8cb18b0cb280df0fc52425b250b17e231975f6dce50cc04fbcbbb5612 presentation-longjing.pdf
Download : presentation-longjing.pdf
That's all! See you.
sha256sum 116c66c8cb18b0cb280df0fc52425b250b17e231975f6dce50cc04fbcbbb5612 presentation-longjing.pdf
Download : presentation-longjing.pdf
That's all! See you.
Subscribe to:
Posts (Atom)