Wmap Metasploit – Fix database not connected

WMAP é un web application vulnerability scanner che é disponibile come modulo all’interno del framework Metasploit.

Nel tentare di utilizzarlo, se Metasploit non é stato configurato per utilizzare il database PostgreSQL, potreste riscontrare un errore simile a quello mostrato nello screenshot sottostante.

E’ possibile infatti utilizzare Metasploit anche senza che sia configurato un database, ma é sicuramente utile farlo nel caso si vogliano per esempio conservare i dati delle proprie ricerche o i risultati delle scansioni.

Nel caso però del modulo WMAP si tratta di un requisito fondamentale.

Vediamo quindi come fissare il problema.

Google OSINT con GHunt

Vi siete mai chiesti quale sia uno dei modi piú veloci per recuperare il maggior numero d’informazioni possibili su un utente Google? quindi chi magari ha il classico account di posta che finisce con @gmail.com.

In questo articolo parleremo di un tool che permette di effettuare quest’operazione in maniera molto semplice e immediata. Lo strumento in questione si chiama GHunt e si tratta come riportato nella pagina Github del progetto di “uno strumento di OSINT per estrarre informazioni da un qualsiasi account Google usando una email”.

Prima di addentrarci a vedere come funziona con un esempio pratico, facciamo un piccolo excursus sulla teoria che ci sta dietro.

shhhh! come ti trovo le password su GIT

“Find secrets right from your browser”. E’ questa una delle frasi che appare ben in evidenza nella pagina Github del progetto shhgit.

Il motivo é presto detto, accedendo alla versione live del progetto su www.shhgit.com é possibile vedere scorrere in real time password, Google Oauth Key, config file WordPress, NPM e molto altro.

Si possono infatti filtrare e visualizzare tutta una serie di informazioni sensibili sotto forma di dati che vengono committati su GitHub, Gists, GitLab o BitBucket per esempio.

Installare Anydesk su Manjaro Linux

Tra le varie applicazioni che ho usato ultimamente per il desktop remoto (es. TeamViewer, VNCViewer, Remote Desktop etc.), Anydesk sicuramente é quella più interessante.

In particolare, l’ho trovato nella sua versione gratuita migliore rispetto a TeamViewer per l’utilizzo quotidiano (basilare) che ne devo fare nella sfera privata. Ovvero gestire al volo alcuni dei miei pc o per aiutare amici e parenti a risolvere qualche problemino a distanza.

Molto veloce, stabile e disponibile su vari sistemi operativi, il controllo remoto appare molto “fluido” anche su reti che non brillano di certo per velocità.

Oggi vedremo come é possibile installare AnyDesk su una versione di Manjaro Linux, in particolare una 20.2, che ho installato di recente su un vecchio portatile Asus N56VZ in dual boot con Windows 10.

Alla pagina di download dedicata a Linux di Anydesk, sono presenti i pacchetti pronti per distro Ubuntu/Debian based o Redhat/CentOS/Fedora. Oltre a questi il generico pacchetto tar.gz per tutte le altre distribuzioni Linux 32 o 64 bit.

Hackthebox.eu: come registrarsi

Nei giorni scorsi mentre seguivo il corso di Heath Adams (aka The Cyber Mentor) dal titolo “Practical Ethical Hacking – The Complete Course”, alla sezione “Mid-course Capstone” é stato introdotto Hack The Box.

Per chi non lo conoscesse Hack The Box é una delle piattaforme online piú famose in cui si puó sperimentare e migliorare le proprie capacitá di pentesting e cyber-security in generale.

Come spiegato però durante la video lezione il “primo step” che c’é da fare per poter cominciare ad usare le macchine virtuali presenti in HTB (da ora lo indicherò così) é quello di “procurarsi” l’invitation code per potersi registrare.

Si questo perché come potete vedere dallo screen qui sotto una volta cliccato in home page sul tasto in altro a destra “Join Now“, si viene reindirizzati alla pagina che dobbiamo “bucare” per tentare di ottenere il coupon che ci permetterà poi di procedere alla registrazione vera e propria.

Nonostante sia possibile trovare semplicemente googlando la soluzione al problema come dice lo stesso Adams, direi che in questo caso come si suol dire “chi ben comincia é a metà dell’opera”. Scherzi a parte visto la tipologia di portale al quale ci si vuole iscrivere, il minimo sindacale é tentare di trovare da soli la soluzione.

Ciao Mondo!

“Hello World!”. Come da buona tradizione informatica il primo post di benvenuto non può non mostrare il più tradizionale dei messaggi.

Pronti per partire per questa nuova avventura, con lo stesso spirito che ha accompagnato il sottoscritto nei primi anni di “vita” sul web. Con la stessa voglia di scoprire, provare, documentare e sperimentare. ate In questo blog ci saranno articoli legati al mondo tech a tutto tondo, ma con un occhio in più alla sicurezza informatica. Come si dice il primo amore non si scorda mai. Si torna agli albori in un certo senso e poi si vedrà.

Buona permanenza in queste pagine e buona lettura!

fud0 the dojomaster