Hardware – Seite 5 – Wenzlaff.de – Rund um die Programmierung

28. Oktober 20212. Januar 2022

Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie auf dem Raspberry Pi Zero nicht Pi Zero 2 W mit ARM-SoC Broadcom BCM2837 vier ARM Cortex-A53 und 64-Bit-taugliche ARMv8-Kerne

Das Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie kann auch auf einem Raspberry Pi installiert werden.

Mit dem Web Scraper für Twitter, mit dem man Tweets von Usern des Kurznachrichtendienstes einholen kann, ohne dabei vom Twitter API eingeschränkt zu werden läuft unter der MIT-Lizenz (Anleitung Twitter-Intelligence-Tool.pdf). TWINT wurde in Python geschrieben, ist am April 2020 in Version 2.1.20 erschienen. Alle Funktionen gehen aber nicht mehr, weil sich die Twitter API geändert hat. Z.b. wirft ein twint -u programmierung –following diesen Fehler:

CRITICAL:root:twint.feed:Follow:IndexError

Aber einiges geht doch noch. Also mal installieren mit:

pip3 install twint

wenn dann nicht alles geht, hat bei mir geholfen:

sudo apt-get install libatlas-base-dev
pip3 install --upgrade -e git+https://github.com/twintproject/twint.git@origin/master#egg=twint

1 2	sudo apt-get install libatlas-base-dev pip3 install --upgrade -e git+https://github.com/twintproject/twint.git@origin/master#egg=twint

So ein erster Test, alle Befehle ausgeben mit twint -h …: „Twitter Intelligence Tool (TWINT) mit Web-Scraping-Technologie auf dem Raspberry Pi Zero nicht Pi Zero 2 W mit ARM-SoC Broadcom BCM2837 vier ARM Cortex-A53 und 64-Bit-taugliche ARMv8-Kerne“ weiterlesen

21. Oktober 202120. Oktober 2021

SSH Brute-Force mit Java, picocli und TWHackSSH jetzt auf Java 11 umgestellt

SSH Brute-Force mit Java. Gar nicht so schwierig wie hier beschrieben.

Die neue Version läuft jetzt nur noch mit Java 11. „SSH Brute-Force mit Java, picocli und TWHackSSH jetzt auf Java 11 umgestellt“ weiterlesen

24. September 20219. Oktober 2021

NodeRed: Kurze Durchsage der chinesischen Zentralbank: „The People’s Bank of China has declared all cryptocurrency payments illegal“

BTC/USTD

Dazu passend mein NodeRed Flow der auf einem Raspberry Pi 4 läuft:

Dazu der Bitcoin Flow (es gehen alle Cryptos) mit NodeRed implementiert. … „NodeRed: Kurze Durchsage der chinesischen Zentralbank: „The People’s Bank of China has declared all cryptocurrency payments illegal““ weiterlesen

18. September 202126. April 2024

WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You“

Millionen von Websites werden mit WordPress betrieben und belegen mit ca. 62% des Marktanteils in der CMS-Welt die Nummer eins. Vor 6 Jahren hatte ich hier schon mal berichtet, wie WPScan mit Kali Linux genutzt werden kann. Dort ist es schon vorinstalliert. Aber man kann es auch auf einem Debian Linux auf einen Raspberry Pi installieren und laufen lassen.

Hier mal ein Beispiel auf einem Pi Zero. Es gibt kein Package für wpscan. Aber es läuft unter Ruby, und das kann man leicht installieren.

Also wer ein WordPress am laufen hat, könnte seine eigene (und nur die!) Installation auf Lücken überprüfen, und nicht nur das. WPScan ist eine kostenlose Software, mit der die sicherheitsrelevanten Probleme auf einer WordPress-Site identifiziert werden können. WPScan kann ua.:

Die verwendete WP Version ausgeben
Alle installierten Plugins listen
Alle installierten Themen listen
Verzeichnis Listing
WP Versions ausgabe
Bruce force Usernamen, alle User Listen
Suchen nach vergessene Backups
DB dumps
Media Dateien listen
Sicherheitslücken ausgeben
…

Die Installation kann in ca. 1 Stunde wie folgt durchgeführt werden:

„WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You““ weiterlesen

8. August 20218. August 2021

Welche Flughäfen und wieviele gibt es in DE, JP, US, RU …. ?

Mit dem TWAirLabs Programm, welches ich hier vorgestellt habe, können alle Flughäfen der Welt abgefragt werden. Dies geht mit dem Aufruf:

-k API-KEY -alle -l LÄNDER_KÜRZEL

Z.B. mal Japan mit seinen 138 Flughäfen:

-k API-KEY -alle -l jp

Ergebnis: „Welche Flughäfen und wieviele gibt es in DE, JP, US, RU …. ?“ weiterlesen

1. August 202131. Juli 2021

CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen

Hier hatte ich beschrieben, wie ein 521-Bit private Elliptic Curve Cryptography (ECC) Key erzeugt werden kann. Mit diesem privaten Key können wir auch leicht eine CA-Zertifikat erzeugen. Einfach in dem Verzeichnis mit dem privaten Key ein:

openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out ecc-cacert.pem

eingeben und diese Fragen beantworten (oder einfach Return, dann wir der default verwendet).
Zuerst zweimal das gleich gutes Passwort eingeben. Wichtig ist auf jeden Fall der Common Name (e.g. server FQDN or YOUR name) Z.B. www.wenzlaff.de oä. und dann:

Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Niedersachsen
Locality Name (eg, city) []:Langenhagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TW-Soft
Organizational Unit Name (eg, section) []:TW-Soft CA-Zertifikat
Common Name (e.g. server FQDN or YOUR name) []:pi-zero
Email Address []:info-anfrage@wenzlaff.de
Warning: No -copy_extensions given; ignoring any extensions in the request

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:DE

State or Province Name (full name) [Some-State]:Niedersachsen

Locality Name (eg, city) []:Langenhagen

Organization Name (eg, company) [Internet Widgits Pty Ltd]:TW-Soft

Organizational Unit Name (eg, section) []:TW-Soft CA-Zertifikat

Common Name (e.g. server FQDN or YOUR name) []:pi-zero

Email Address []:info-anfrage@wenzlaff.de

Warning: No -copy_extensions given; ignoring any extensions in the request

Und schon liegt ein CA-Zertifikat in der Datei ecc-cacert.pem.

Die kann mit cat ecc-cacert.pem angesehen werden: „CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen“ weiterlesen

31. Juli 202131. Juli 2021

Wie können auf einem Raspberry Pi mit „apt list“ alle möglichen Packages updates angezeigt werden?

Mit
apt list –upgradable

Ausgabe z.B.

Es wird da leider nicht zwischen sicherheits und normalen updates unterschieden.

Ein

apt list

ohne Parameter gibt alle möglichen Packages.

Ein apt list –installed gibt dann alle auf dem Pi installierten Packages. Die kann man evl. in eine Datei schreiben mit

apt list –installed > installierte-packages.txt

Die Warnung die da kommt, kann man ignorieren.

Wenn man nach dem Namen eines Package sucht, einfach den Namen anhängen. Z.b. suchen wir nach vim

apt list vim
Listing… Done
vim/stable 2:8.1.0875-5 armhf

25. Juni 202125. Juni 2021

Wieviele Flugzeuge empfängt der Raspberry Pi bei mir in EDDV (HAJ) im Durchschnitt? > 400

Und das mit der Antenne.

12. Juni 202117. Juni 2021

Onion Webseite mit Elliptische Kurve Curve25519 absichern

Hier nun noch ein Level von Sicherheit mit dem Raspberry Pi. Wie hier beschrieben kann eine Website leicht für jedermann mit eigener onion Domain im Darknet bereitgestellt werden. Die Seiten können nun aber auch noch mit einen Curve25519-Key gesichert werden, so das nur Nutzer die den Key haben auf die Seiten zugreifen können. Wenn man dann z.B. die Adresse

http://tokc2fifswouszmp4jy3ejizmchy4damvhmdug5crvkvfgmymbejkqqd.onion

aufruft, erscheint im Browser, oben links ein Schloß. Wenn man darauf klickt erscheint der Dialog:

Hier wird dann der private Schlüssel, den man vom Bereitsteller erhalten hat eingegeben. Für diese Seite ist es der Schlüssel:

JDSQ2RRI2SLYCN4SG6ZBP4DHE4TEHZG26EJS5R6FYBPH6AU3FVEA

Jeder der diesen privaten Schlüssel hat, kann nun auf die Seiten zugreifen. Wer das falsche Passwort eingibt, kann nicht auf die Seite zugreifen: „Onion Webseite mit Elliptische Kurve Curve25519 absichern“ weiterlesen

10. Juni 20219. Juni 2021

Watchdog für einen CO2-Ampel Server oder andere per NodeRed

Hier mal kurz noch ein Beispiel-Flow mit NodeRed um einen Server oder so zu überwachen und wenn er sich nicht in einen bestimmten Zeitraum meldet wird eine Pushover Nachricht an ein Handy versand. Bei mir wird ein CO2-Ampel-Server der auf einem anderen Raspberry Pi läuft damit überprüft. Der sendet jede Minute den CO2 Wert in ppm. Wenn nach 10 Minuten Timeout nichts kommt, wird die Meldung an mein Handy gesendet. Aber nur maximal nur einmal die Stunde, will ja wenn er ausfällt nicht alle 10 Minugen eine Meldung bekommen, das währe dann zuviel des guten.

Hier der Java-Script Flow zum kostenlosen Download:… „Watchdog für einen CO2-Ampel Server oder andere per NodeRed“ weiterlesen

9. Juni 2021

Tip: Copyright-Anzeige nach SSH Login anpassen/löschen

Beim Anmelden mit SSH auf den Raspberry Pi wird jedes mal diese Meldung ausgegeben.
The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.
Das Nervt! Die habe ich gelöscht und durch eine für mich sinnvolle Bezeichnung welches Gerät es ist angepasst. So kann ich beim anmelden leichter sehen, mit welchem Gerät ich mich verbunden haben. Dazu einfach mit

sudo nano /etc/motd

1	sudo nano /etc/motd

die Datei wie gewünscht bearbeiten.

Ich habe da z.B. nur eingetragen: Raspberry Pi Zero Nr. 18 😉

8. Juni 20218. Juni 2021

„Black Box Test“ mit Wapiti

„Black Box Test“ mit Wapiti. Es prüft Webseiten und Web-Applikationen auf Schwachstellen, indem es die Seitenstruktur ermittelt und daraufhin versucht, Daten und Payloads an Skripte und Formulare zu übergeben. Cool, dann mal den eigenen Server überprüfen. Hier schon mal der Ergebnis-Report vorweg:

Installieren mit: „„Black Box Test“ mit Wapiti“ weiterlesen

5. Juni 202131. Juli 2021

Kostenlos eine Webseite im Darknet mit Raspberry Pi bereitstellen über Onion Service

Wie kann kostenlos eine Webseite mit .onion Domain auf einen Raspberry Pi Zero bereitgestellt werden?

Man braucht keine kostenpflichtige Domain wie z.B. www.wenzlaff.info beantragen und bezahlen.

Die .onion Domain gibt es kostenlos. Wir brauchen nur tor und einen Webserver wie z.B. nginx.

Folgende Schritte sind auf dem Raspberry Pi nötig:

… „Kostenlos eine Webseite im Darknet mit Raspberry Pi bereitstellen über Onion Service“ weiterlesen

4. Juni 20212. November 2023

Zum heutigen National Donut Day mit Curve25519 free private/public Key generieren für Hidden Onion-Services

Dank an Dr.Kleinhirn.eu für die Mindmap

Wenn man Wikipedia glauben will dann ist „Curve25519 … eine elliptische Kurve, die für asymmetrische Kryptosysteme genutzt wird. Sie wird üblicherweise für digitale Signaturen und Schlüsselaustauschprotokolle genutzt und gilt als besonders schnell. Sie ist von der IETF als RFC 7748 standardisiert.“
Aber sie wird auch für Onion-Services verwendet. Deshalb mal heute zur Entspannung für 10 Minuten einen public und privaten Key auf einem Raspberry Pi (Zero) generieren. Inkl. Hostnamen. Das geht so:

// nötige Abhängigkeite installieren, wenn nicht schon vorhanden
sudo apt install gcc libsodium-dev make autoconf

// das Repo clonen
git clone https://github.com/IT-Berater/mkp224o.git

// die mkp224o App compilieren, bauen und installieren
cd mkp224o/

./autogen.sh
./configure
make

// Keys die mit fast oder filter starten und Hostname generieren im TW-Keys Verzeichnis, das dauert ca. 1 Minute
./mkp224o filter fast -t 1 -v -n 1 -d ./TW-Keys

// Check
cd TW-Keys
ls

// nötige Abhängigkeite installieren, wenn nicht schon vorhanden

sudo apt install gcc libsodium-dev make autoconf

// das Repo clonen

git clone https://github.com/IT-Berater/mkp224o.git

// die mkp224o App compilieren, bauen und installieren

cd mkp224o/

./autogen.sh

./configure

make

// Keys die mit fast oder filter starten und Hostname generieren im TW-Keys Verzeichnis, das dauert ca. 1 Minute

./mkp224o filter fast -t 1 -v -n 1 -d ./TW-Keys

// Check

cd TW-Keys

Hier mal der lauf auf meinem Pi: „Zum heutigen National Donut Day mit Curve25519 free private/public Key generieren für Hidden Onion-Services“ weiterlesen

2. Juni 20211. Juni 2021

Video: Raspberry Pi update bzw. upgrade Prozess per BPMN Flow

24. Mai 202128. Mai 2021

SSH Brute-Force mit Java, picocli und TWHackSSH

SSH Brute-Force mit Java. Gar nicht so schwierig.

Wir lesen eine Passwort- und eine Userdatei ein und machen ein connect zu einem SSH-Server mit jeder Kombination bis wir eine gültige Verbindung gefunden haben. Hier die Architektur inkl. JUnit-Testklassen: … „SSH Brute-Force mit Java, picocli und TWHackSSH“ weiterlesen

23. Mai 202127. Mai 2021

SSH Passwort Zugriff mit Brute-Force Script in 19 Sekunden oder „Versuch macht klug!“

Der Versuch macht klug und der Erfolg kommt schon mit dem Versuch und nicht erst wenn es klappt. Wer sein eigenes Passwort für den Raspberry Pi (oder auch jeden anderen Rechner) vergessen hat, kann es ja mal mit dem SSH Brute-Force Script von nmap versuchen. Und es ist auch erschreckend, wie schnell und einfach man ein passwortgeschützen Zugang hacken kann. Aber nur an eigenen Rechnern 😉

Wir habe hier mal, wie oben dargestellt zwei Raspberry Pi. Von dem pi oben links, machen wir mit der Brute-Force-Methode einen Scann des pi auf dem ein SSH Port Nr. 22 offen ist.

Dazu benutzen wir nmap. Das können wir installieren mit

sudo apt-get install nmap oder wie hier beschrieben selbst compilieren.

Nun checken wir, ob der SSH-Port Nr. 22 offen ist mit nmap: … „SSH Passwort Zugriff mit Brute-Force Script in 19 Sekunden oder „Versuch macht klug!““ weiterlesen

22. Mai 202127. Mai 2021

Kommandline Quickie: Passwort Generierung

Wer hin und wieder mal ein Passwort braucht, kann sie auch leicht auf der Komandozeile eines jeden Linux-Rechners (Pi, Mac …) erzeugen. Mit Disk Dump (dd) schreiben wir von der unlimitierten Zufallszahlengenerator Schnittstelle eine Base64 Zahl.

Hier mal ein Beispiel mit einer 128-Bit Entropie: „Kommandline Quickie: Passwort Generierung“ weiterlesen

17. Mai 202120. Mai 2021

BTC Blocknummer (683973) der Blockchain in NodeRed Dashboard anzeigen

Mit dem Genesis Block Nr. 0 ist die Bitcoin Blockchain am 3.1.2009 gestartet. Ca. alle 10 Minuten kommt ein neuer Block.

Jetzt sind wir gerade bei Block Nr. 683973: … „BTC Blocknummer (683973) der Blockchain in NodeRed Dashboard anzeigen“ weiterlesen

30. April 20215. Mai 2021

Covid Inzidenz abfragen beim „Robert Koch Institute (RKI)“ und per Pushover auf das Handy versenden

Coronavirus: Zahl der täglichen Neuinfektionen geht weiter zurück (153). Wie lautet die Inzidenz für meine Stadt? Hier ein kleiner Flow, der täglich auf das Handy per Pushover (siehe Bild oben) die aktuelle Inzidenz Zahl vom RKI versendet. Dann braucht man nicht immer auf das Dashboard des RKI zu schauen…. „Covid Inzidenz abfragen beim „Robert Koch Institute (RKI)“ und per Pushover auf das Handy versenden“ weiterlesen