用了很多年panabit了,相信很多人都在登录panabit时要点击信任排除证书什么的操作习以为常了。最近刚好有时间,就研究了一下替换证书(更关键的是没找到完全贴合我需求的文档,只好自己做一遍记录下来了)

实际上ip也是可以签发证书的,只不过没有免费的,所以我们需要给自己的panabit配置一个域名(多半时候二级域名就可以),并且去letsencrypt申请一个免费的证书(当然免费有免费的缺点,只有3个月有效期,当然你也可以去申请1年有效期的,我由于用的是通配符证书,所有二级域名用一个,反正也要3个月弄一次,所以就拿来直接用了)

接下来进入正题,申请域名证书的过程略,网上搜索一大堆,我就不在这里说了。

首先ssh登陆我们的panabit主机,panabit默认用户名root,默认密码panaos。
panabit存放https证书在如下两个路径,带system的是硬盘保持的文件路径,ramdisk是内存运行时的文件路径

/usr/system/admin/admin.pem
/usr/ramdisk/admin/admin.pem

我们需要替换2个文件中的证书,通过vi编辑文件,删除掉原有内容,将letsencrypt申请的证书文件cert.pem和privkey.pem里的内容依次粘贴进去即可,当然如果你命令行操作不熟练,可以使用WinSCP把文件下载下来改完在上传,注意协议要选SCP才可以连上。

接下来,懒人可以直接重启panabit服务器了,当然如果你直接重启服务器的话,前面是不用替换ramdisk目录那个文件的。

我替换2个文件的原因是不想重启就让它生效,搜了一些文章发现没有写怎么停和起https服务的,于是自己研究了一下,发现/usr/system/bin/ipectrl这个脚本,脚本里有启动的命令,于是就知道了怎么停止https服务了:)

停止https服务的命令

/usr/system/bin/ipectrl stop httpd

注意,此时已经生效了,因为panabit的https服务有守护进程,结束了会被立刻启动的。

当然,如果你没有启动,可以用下面命令启动一下

/usr/system/bin/ipectrl start httpd

至此就完成panabit上面的配置,还差最后一步,本来我想直接改hosts文件了事,结果浏览器告诉我不安全,所以又去设置了一下我的这个二级域名解析,给它解析到我的内网IP了,当然不用担心安全问题,毕竟别人不知道你这个域名,也访问不了你的内网,再说就算泄露也顶多泄露了你这个内网管理地址而已。

至此,终于可以直接通过域名打开panabit管理界面,看到绿色盾牌图标了:)

然而,并没有结束,此时的证书在部分浏览器里显示正常,但是很多默认不启用TLS1.2以下支持的浏览器依然会提示网站使用较弱的加密,接下来我们升级panabit的openssl。

打开下面网址,下载最新的openssl应用组件,我下的20200915版本的,限制panabit版本,需要2020年7月1号,NANBEIr5以上的版本才能使用,所以你可以能需要顺便升级一下panabit的版本。

注:openssl组件里就有网页替换证书的功能了,不过我没研究它支持什么版本,我用免费证书直接导入是失败的,反正用前面我的手动方法好用就可以了。

经常遇到给开发人员分配Linux服务器后,告诉我说,没法用远程桌面连接。。。

最近疫情影响,一直在家办公,发现Linux还有个叫xrdp的好东西,它的原理其实也不复杂,首先linux下有个rdesktop的客户端,是用来远程windows用的,既然协议知道那么就有人基于这个协议做了个服务端,它就是xrdp,当然,xrdp也没多做事情,它在本地的图形来源依然是vnc,也就是远程桌面会创建一个临时vnc服务,用于远程桌面用,而且是根据客户端请求来的分辨率自动创建的,这个非常赞!
并且这样也不用考虑让大家拷贝或安装vnc客户端的问题了,远程桌面全搞定!

废话不多说,我们开始吧。先说CentOS/Redhat上的安装方法

yum install -y epel-release
yum install -y xrdp
systemctl enable xrdp
systemctl start xrdp

然后就可以用windows的远程桌面连接了,不过这里我遇到一个bug,也就是远程桌面客户端如果设置成15位色,那么登陆之后会报错(大约是无法连接本机新创建的vnc的5910端口)改成16位色或者以上就可以了。

接下来是Debian/Ubuntu的安装方法

sudo apt install xrdp
sudo systemctl enable xrdp
sudo systemctl start xrdp

一般安装好之后还需要修改一下,否则可能会遇到这个错误(login failed for display 0 )

sudo vi /etc/X11/Xwrapper.config
将
allowed_users=console
改为
allowed_users=anybody

保存退出即可生效,之后就可以用远程桌面连接Linux了。

安全工作者在对系统环境进行渗透测试时常常会自己配置虚拟机,如果是Linux的话还好,还有Kali Linux可以用。但是碰上Windows环境就惨了,往往配置虚拟机环境就要好几个小时。一边要维护自定义的虚拟机环境,一边还要时常升级集成的工具套件,花费的时间成本颇高。火眼推出了一款面向红队的Commando VM渗透测试套件,包含超过140个开源Windows渗透工具包,有需要的小伙伴可以看一看,免费又好用。
有现成的VM可以下载,懒得配置的小伙伴可以直接下载 链接: https://pan.baidu.com/s/1t4-X-LFRjbarbMIShmT5rg 提取码: akuf (需要用2345好压来解压,我用7zip解压失败,密码“逆向驿站”)

建议在虚拟机中部署Commando VM,使用虚拟机软件的快照功能减少重新配置环境所需的时间,虚拟机环境要满足以下最低要求:
60GB磁盘空间
2GB内存

在完成虚拟机的基本配置后安装Windows镜像,支持:
Windows 7 Service Pack 1
Windows 10

系统安装完成后建议添加配套的虚拟机工具(例如VMware Tools)以支持复制/粘贴、屏幕显示调整等其他设置。虚拟机环境配置成功后,以下所有的步骤均在该环境中操作。

1、下载GitHub上的Commando VM文件并解压缩。

2、以管理员身份运行powershell,运行以下命令,让系统允许执行ps1脚本,否则会提示“无法加载文件 .ps1,因为在此系统中禁止执行脚本”

set-executionpolicy remotesigned 

3、继续执行以下命令 ,关闭签名验证,否则会提示“未经数字签名 系统将不执行该脚本”

set-executionpolicy Bypass

4、执行commando安装脚本

.\install.ps1

5、执行install.ps1安装脚本。系统将提示输入当前用户的密码。Commando VM需要当前用户的密码才能在重启后自动登录。可以通过命令行“-password ”来指定当前用户的密码。

6、剩下的安装过程需要联网并自动执行,根据网络速度可能至少需要2至3小时完成。期间虚拟机系统会重启多次。安装完成后,PowerShell保持打开状态,键入任意键可退出即可。

如果Windows服务器使用存储池,并且更换了服务器,或者将其他机器配有存储池的硬盘插到服务器中,就会出现只读配置的存储池,在正常情况下,可以直接鼠标设定权限更改为读写就可以了。
但是特殊情况下,存储池数据不完全,则需要进行命令行配置才可以修改或者删除不需要的存储池设定。
使用 Windows PowerShell 设置存储池的读写访问权限,键入

Get-StoragePool <PoolName> | Set-StoragePool -IsReadOnly $false

要删除只读配置的存储池,需要使用管理员权限的 Windows PowerShell ,键入以下内容:

Get-StoragePool <_PoolName_>| Remove-StoragePool

自从换了带指纹的笔记本,越来越习惯用指纹登录了。
最近终于没忍住,给台式机也上指纹设备,(某宝上1xx买的,貌似是目前最便宜的,需要装一下驱动,不过能联网它也能自动装上)。
一台没加域的机器直接完美使用,而另一台加了域的直接不好,问了卖家,未果,只好自己搜索了。

首先解决第一个问题,加域之后的Win10默认策略不让设置PIN,可以修改注册表实现:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

保存为Win10-Enable-PIN.reg双击导入。

第二步,也就是搜索了很多文章也没搞定的地方。需要改组策略,允许Win10使用生物识别设备
gpedit.msc打开组策略管理器,一次进入 计算机配置->管理模板->Windows 组件->生物特征:
右侧,把“允许使用生物特征”、“允许用户使用生物特征登录”以及“允许域用户使用生物特征登录”都改成“已启用”
在这里,吐槽一下网上的文章,好多要去设定组策略里的“Windows Hello 企业版”的设定的,都不要去改,改了也不好用。

这时就可以去用户设置里看看是否可以打开指纹了,我的计算机目前已经可以看到指纹设定了,但是设置那一项还是灰的,继续第三步,当然如果你已经可以设置了,那就去设置好了,不用第三步了。
去BIOS里找Intel的ATM相关设定,设置根据不同版本会有不同,需要根据自己具体情况设定,把它都打开,然后重启就可以设置指纹了。