Linux - Terminal ist eingefroren (Strg-S)

Kurzer aber nützlicher Tipp, falls auch euch das Terminal einfriert.

Führt man stty -ixon aus, wird verhindert, dass "Strg-S" das Terminal anhält bzw. pausiert. Diesen Befehl am Besten in der Konfigurationsdatei des Terminals (~/.bashrc) eintragen.

# enable the freeze/unfreeze behavior CTRL-S and CTRL-C
stty -ixon

Hintergrund: ixon und ixoff werden verwendet, um darauf zu bestehen, dass "Strg-S" und "Strg-Q" als Kontrollflusssignale (Bildlaufsperre) interpretiert werden. 

Weitere Infos zu stty finden sich hier https://tldp.org/HOWTO/Serial-HOWTO-11.html#ss11.4.

ChatGPT - Hacking Kommandos

In dem Beitrag "ChatGPT - Einstieg, Kommandos, Erweiterungen und Schnittstelle OpenAI" ging ich bereits auf die Basics von ChatGPT ein. In diesem Artikel gehe ich kurz auf die Unterstützung von ChatGPT als "Hacking-Tool" ein.

Stellt man die richtigen Anfragen an ChatGPT, kann die KI nützliche Informationen über den Einsatz von Hacking-Tools liefern. Auch lässt sich Quellcode auf Sicherheitslücken untersuchen und ChatGPT erklärt wie diese ausgenutzt werden können. Die KI kann zudem Phishing-Mails bewertet und E-Mails umformulieren, damit diese seriöser klingen.

Einsatz von Hacking-Tools (Kommando)

Wie würde ein Pentester im Rahmen eines Pentests vorgehen, um Sicherheitslücken in einem Netzwerk oder bei einer Webseite zu finden?

Wie würde Schritt 2 ganz konkret ablaufen?

• Security - Nmap Netzwerkscanner und Kali Linux
  

Sicherheitslücken in einer WordPress-Installation finden (Kommando)

Wie würde ein Pentester Sicherheitslücken in einer WordPress-Installation finden, um die Kontrolle zu übernehmen?

• Hacking-Tool WPScan

Quellcode Analyse (Kommando)

Enthält der folgende Code Sicherheitslücken?, gefolgt von dem Quellcode

E-Mail (Text) umformulieren (Kommando)

Kannst Du die Mail so umformulieren, dass sie einen vertrauenswürdigen Eindruck macht?


Quelle: c't 8/2023 S. 108

Netzwerkgrundlagen - Lernen mit der kostenlosen Simulationssoftware "Filius"

Wie funktioniert das Internet? Was ist ein DHCP- oder DNS-Server? Oft haben Schüler und Azubis keinerlei Kenntnisse der Netzwerktechnik und können daher diese Basics nichrt erklären bzw. werden in der Schule nicht vermittelt.

Mit der kostenlosen Software "Filius" kann lassen sich diese Netzwerkgrundlagen vermitteln. Dies erfolgt durch eine Simulation, also komplett ohne zusätzliche Hardware und Kosten.

Filius erklärt dabei das Zusammenspiel von Client und Server und vermittelt auch die Aufgaben von DHCP-, DNS- und Webservern einfach und verständlich.

Die Software kann man auf der Website www.lernsoftware-filius.de kostenlos herunterladen. Die Quelltexte zu Filius sind öffentlich verfügbar unter gitlab.com/filius1/filius.

Kostenloses Unterrichtsmaterial zu Filius, gibt es auf der Website des Autors:

• beuche.info/netzwerk

und auf der Filius-Website:

• www.lernsoftware-filius.de/Begleitmaterial

 

Windows-Subsystem für Linux (WSL) - Passwort zurücksetzen (Reset Password)

Installiert man Linux mit WSL unter Windows (https://sebastianhemel.blogspot.com/2020/12/windows-subsystem-fur-linux-wsl.html), wird man aufgefordert, einen Benutzernamen und ein Kennwort zu erstellen. Dieser Benutzer wird dann automatisch angemeldet, wenn man Linux mit WSL startet. Verwendet man einen "Befehl mit sudo", muss man das gesetzte Passwort eingeben.

In diesem Beitrag beschreibe ich, was man tun kann falls man das Passwort vergessen hat.

Um das Linux-Passwort mit WSL zurückzusetzen, muss man folgendes tun:

• Wechsel auf den Standardbenutzer root (erfolgt über die Eingabeaufforderung cmd)
• ubuntu config --default-user root
• debian config –default-user root
• kali config –default-user root
  
• Passwort für den "normalen" Benutzer zurücksetzen
• Startet man nun die Linux-Distribution, ist man als root angemeldet. Und man kann das Passwort für das normale Benutzerkonto zurücksetzen.
• Username ggf. mit ls /home prüfen ;-)
  
• passwd username
• Vom root Standardbenutzer wieder auf den "normalen" Benutzer wechseln
• ubuntu config --default-user username

 

IT Forensik - Datei in Bild verstecken oder finden (strings, binwalk)

Eine beliebige Datei lässt sich mit einem Trick ganz einfach mit einer Bilddatei verschmelzen und ist somit auf den ersten Blick nicht auffindbar. Aber mit den Linux Tools Strings und Binwalk können versteckte Dateien wieder aufgespürt werden.

1. Schritt "Dateien packen"

Ales erstes legt man mit Hilfe von z.B. 7-Zip der WinRAR zwei Dateien in ein Archiv. Dieses kann auch zusätzlich mit einem Passwort geschützt sein.

2. Schritt "Dateien zusammenführen"

Bit dem folgenden Befehl in der Kommandozeile (cmd) können jetzt die Dateien zusammengeführt werden.

copy /b Landschaft.jpg + Downloads.zip D:\

Es lässt sich jetzt gut erkennen, dass die "neue" Datei Landschaft.jpg deutlich mehr Speicherplatz belegt.

Analyse mit "Strings"

sudo apt install binutils
strings Landschaft.jpg

Strings druckt die Zeichenketten druckbarer Zeichen in Dateien und gibt sie in der Konsole aus. Man sieht sofort, es befinden sich zwei Dateinamen darunter.

Analyse mit "Binwalk"

sudo apt install binwalk
binwalk Landschaft.jpg

Binwalk durchsucht binary images nach eingebetteten Dateien und ausführbarem Code. Man erkennt sofort, dass es sich um ein Zip Archiv handelt.

ESP32 - WLAN-Kamera mit ESP32-CAM-Modul (Tasmota)

Mit Hilfe der Tasmota Firmware, welche eigentlich für Sensoren und Schalter verwendet wird, kann man auch sehr gut die Kamera des ESP32-CAM-Modul betreiben. Das ESP32-CAM-Entwicklungsboard mit Kameramodul gibt es schon für ca. 15 EUR. Die Anwendungsgebiete wären z.B. Webcam, Beobachtungs Kamera oder auch Gesichtserkennung.

ESP32 Cam – Verbindung mit USB Brücke (FTDI)

Leider hat das ESP32-CAM-Modul keine direkte USB-Schnittstelle. Um die Programmierung durchführen zu können benötigt man einen USB to Serial Konverter. Dieser FTDI (Yizhet FTDI Serial Adapter FT232RL USB zu TTL Adapter 3,3V / 5V Modul) kostet ca. 3-4 EUR.

Hinweis: Bitte auf die richtige Spannung von 3.3V des FTDI achten!

Für die Verkabelung habe ich ein Steckbrett und Pinheader Kabel verwendet.

1. Strom Verbindung herstellen (3,3V und Masse (GND)) verbinden
2. Datenleitungen (RX/TX) anschließen
3. Verbindung zwischen Masse und IO0 wird NUR zum Programmieren gesteckt und danach wieder entfernt. Vor der Programmierung sollte man ggf. ein Reset durchführen.
   

Tasmota Webcam Server installieren

1. Schritt: Firmware aufspielen, hierfür benötigt man nur einen Browser, welcher auf die USB-Schnittstelle Zugriff hat.
• Tasmota-Web-Installer https://tasmota.github.io/install/
• 
  
• 
• So kann man direkt die Konfiguration der Firmware (lokale WLAN Konfiguration) angepasst werden.
• Ansonsten ist dies etwas aufwendiger, siehe z.B. https://www.fambach.net/esp32-cam-modul/#Testprogramm.
2.  Schritt: Verbindung zwischen Masse und IO0 kappen, damit die Konfiguration (für z.B. WLAN) erfolgen kann.
   
• 
  
  
• nn
3. Schritt: Einstiegsseite (IP-Adresse des ESP32) zeigt das Kamerabild
   
• Eine Oberfläche zur Bedienung fehlt aber, die Befehle wie z.B. Auflösung oder Helligkeit müssen per Konsole angepasst werden.
  
• WcResolution = Image resolution, 13: FRAMESIZE 1600x1200
• http://192.168.1.55/cm?cmnd=WcResolution%2013
• Einzelbilder: http://192.168.1.55/snapshot.jpg
• Videostream: http://192.168.1.55:81
  

Übersicht über die Konfigurationsoptionen des Kamera-Webservers in Tasmota https://cgomesu.com/blog/Esp32cam-tasmota-webcam-server/#webcam-server-additional-configurations.

Eine weitere Alternative Firmware ist https://github.com/easytarget/esp32-cam-webserver, diese lässt sich aber nicht direkt per Browser installieren (siehe auch Arduino IDE für ESP32 einrichten). Auch interssant ist die folgende KI Firmware https://jomjol.github.io/AI-on-the-edge-device/index.html.

Quelle c't 6/2023 S. 30

ffmpeg - mp3-Datei Coverbild hinzufügen

Mit Hilfe von ffmpeg ist es möglich ein Coverbild in eine mp3-Datei nachträglich hinzuzufügen, ohne das man ein "mächtiges" Tool installieren muss.

Dies ist mit dem folgenden Konsolen Befehl möglich: 

ffmpeg -i input.mp3 -i cover.png -c copy -map 0 -map 1 output.mp3

Siehe auch http://www.ffmpeg.org/ffmpeg-all.html#mp3.

ChatGPT - Einstieg, Kommandos, Erweiterungen und Schnittstelle OpenAI

In diesem Beitrag gehe ich kurz auf die Basics von ChatGPT (https://de.wikipedia.org/wiki/ChatGPT) ein und welche Tools einen Mehrwert bieten. Da es sich um den Prototyp eines Chatbots handelt, sind die Dialoge für den Austausch mit der sprachbasierten Anwendung sehr wichtig! Andernfalls wird die Qualität der Ergebnisse nicht zufriedenstellend sein.

Einstieg in ChatGPT

Um mit ChatGPT loslegen zu können, muss man sich einen Account anlegen.

• https://chat.openai.com
• Hierfür sind E-Mail Adresse, Vorname, Name und Telefonnummer notwendig. 

• Unter https://beta.openai.com/account/api-keys lassen sich API keys für den Zugriff auf die OpenAI-API generieren.
  

Wichtig für die Anfragen an ChatGPT ist der jeweilige Gesprächskontext. Ändert man diesen, sollte in der Menüleiste immer ein neuer Chat gestartet werden!

 
Beachten sollte man außerdem, dass ChatGPT nicht verrät aus welchen Quellen die Aussagen bzw. Antworten vom Chatbot stammen! Daher sollte man die Aussagen ggf. überprüfen und kritisch hinterfragen!

Nützliche Kommandos

Text überarbeiten:

• Hier ist ein Text: [DEIN TEXT]
• Formuliere mir diesen Text leicht verständlich um.
  

Codegenerierung:

• Zeige mir, wie ich in Python eine HTTP-Anfrage stellen kann.

Text in Tabelle umwandeln:

• Erstelle eine Tabelle aus diesem Text: Erstelle eine 2-Spalten-Tabelle, in der die erste Spalte die Aktie enthält Tickersymbol für Apple, Google, Amazon, Meta und die andere Spalte enthält die Namen der Unternehmen. 

Weitere Sammlungen von "Prompt´s" bzw. Nutzungsbeispiele finden sich hier:

• The ChatGPT Cheat Sheet
• https://drive.google.com/file/d/1UOfN0iB_A0rEGYc2CbYnpIF44FupQn2I/view
• 20 Experimente mit ChatGPT: Der universalgelehrte Depp
• https://wortvogel.de/2022/12/20-experimente-mit-chatgpt-der-universalgelehrte-depp/
• Explore Top Conversations on ShareGPT
• https://sharegpt.com/explore
• Awesome ChatGPT Prompts
• https://prompts.chat/
• FlowGPT: Amplify your workflow with best prompts
• https://flowgpt.com/

Erweiterungen für Browser und Apps

• ChatGPT Desktop App
• https://github.com/lencx/chatgpt
• WebChatGPT (Browser extension)
• https://github.com/qunash/chatgpt-advanced
• ChatGPT Prompt Genius (Browser extension)
• https://github.com/benf2004/ChatGPT-Prompt-Genius
  
• Merlin (Browser extension)
• https://merlin.foyer.work
  
• Luna (Browser extension)
• https://chrome.google.com/webstore/detail/luna-chatgpt-for-chrome/bignkmclhhmhagjojehblmmaifljphfe
  
• Awesome ChatGPT (Sammlung von API tools, Browser extension und Nutzung über andere Plattformen wie z.B. Twitter oder Telegram) 
• https://github.com/humanloop/awesome-chatgpt
  

 

Quelle: c't 5/2023, S. 60

Linux - Bildvergleich bzw. "Finde den Fehler" mit Kommandozeile (ImageMagick)

Mit Hilfe von ImageMagick lassen sich viele Konvertierungen oder Veränderungen an Bildern vornehmen. Siehe dazu auch meine Beiträge Linux - PDF in JPG mit der Befehlszeile/Kommandozeile konvertieren oder ImageMagick - Wasserzeichen (watermark) einem Bild hinzufügen. In diesem Beitrag zeige ich kurz, wie man "Fehler" bei einem Bildvergleich sehr schnell finden kann.

Sollte ImageMagick noch nicht installiert sein, kann man dies mit dem folgenden Befehl tun:
sudo apt install imagemagick

Ein Vergleich von zwei ähnlichen Bildern ist mit dem folgenden Befehl möglich:
compare Bildvergleich_1.png Bildvergleich_2.png Diff.png

Die durchgehend "roten" Bereiche zeigen den jeweiligen Unterschied an:

 

Balkonkraftwerk - Hoymiles Wechselrichter auslesen (DTU bzw. AhoyDTU oder OpenDTU)

Hoymiles ist ein weltweit führendes Unternehmen für Mikro-Wechselrichter. Der Hoymiles HM-300 ist der perfekte Mikrowechselrichter für ein kleines Balkonkraftwerk und eignet sich für die Solarstromproduktion mit einem Solarpanel bis zu einer Leistung von 380 Watt Peak. Zur Anlagenüberwachung wird laut Hersteller eine DTU Lite benötigt (Kostenpunkt ca. 150 €).

Um den Hoymiles auszulesen, benötigt man aber nicht unbedingt den DTU WLite des Herstellers!

Als Alternative gibt es das Selbstbau-Bastelprojekte mitteles AhoyDTU bzw. OpenDTU. Die Kosten hierfür betragen nur ca. 10-30 €.

Weitere Informationen unter:

• AhoyDTU: https://ahoydtu.de bzw. https://github.com/lumapu/ahoy
• OpenDTU: https://github.com/tbnobody/OpenDTU

JSON Crack - Besserer Überblick für komplexe JSON-Daten

Mit Hilfe der JavaScript Object Notation (JSON) ist z.B. ein Datenaustausch zwischen Servern und Applikationen möglich. Die JSON-Daten sind bereits relativ gut strukturiert und in einem Editor lesbar. Verwendet man aber eine Vielzahl von Objekten, kann man dennoch die Übersicht schnell verlieren. Mit Hilfe des Open-Source-Tool JSON Crack kann man den Code sehr schnell in übersichtliche Grafiken umwandeln.

Für JSON Crack ist keine Registrierung erforderlich! Mann öffnet den https://jsoncrack.com/editor im Browser und ersetzt den Beispiel-JSON-Code im linken Teil des Bildschirms durch seinen eigenen oder importiert eine beliebige Datei. Rechts sieht man sofort die Visualisierung des JSON-Codes.

Die aktuelle Grafik kann man als PNG-Datei herunterladen. Dies kann sehr hilfreich sein, um die Visualisierung anderen zu zeigen.

Windows Subsystem für Linux (WSL) - Version 1.0 veröffentlicht

Gegen Ende 2022 hat Microsoft die Version 1.0 des Windows Subsystem für Linux veröffentlicht. 

Wichtig: Es ist jetzt zur Installation der neuesten Version, der direkte Weg über der Microsoft Store empfohlen!

Es ist wohl nicht mehr sichergestellt, dass man über die Kommandozeile (wsl --install bzw. wsl --update) die jeweils aktuelle  Version erhält.

Twitter - Suchen und recherchieren inkl. Twitter ID (user_id)

In diesem Beitrag gehe ich kurz auf die Möglichkeiten ein, auf Twitter zu recherchieren und wie man bestimmte Tweets finden kann. Auch lassen sich hierdurch ggf. Fake-Profile entschlüsseln.

Antworten an ein bestimmtes Profil

• to:DB_Bahn
• https://twitter.com/search?q=to%3ADB_Bahn&src=typeahead_click&f=live

 Suche nach Nutzername des Profils und Tweets ausschließen

• DB_Bahn -from:DB_Bahn -filter:replies
• https://twitter.com/search?q=DB_Bahn%20-from%3ADB_Bahn%20-filter%3Areplies&src=typed_query&f=live
• Sucht nach dem Nutzernamen des Profils, es werden aber Tweets ausgeschlossen, welche vom Profil selber stammen oder direkt antworten. Es bleiben also nur Erwähnungen übrig.
   

Erweiterte Suche sehr hilfreich

Über das "Drei-Punkte-Menü" neben dem Suchfeld, kann man Sie erreichen. Alternativ geht dies auch direkt über https://twitter.com/search-advanced .

Twitter ID (user_id)

Jedes Profil hat eine eindeutige ID und ändert sich somit niemals (auch nicht, wenn der Name des Accounts geändert wird).

• https://www.codeofaninja.com/tools/find-twitter-id, oder im HTML-Code nach user_id= suchen
  

Mit Hilfe der ID lassen sich dann viele weitere Suchbefehle (https://github.com/igorbrigadir/twitter-advanced-search) und Services nutzen, um so ggf. Fake Profile aufzuspüren.

Nützliche Tools:

• BirdHunt sucht nach lokal begrenzten Tweets.
• Spoonbill protokolliert Änderungen an Twitter-Profilen.
• Socialbearing hilft bei der Analyse von Twitter-Profilen.