Magnet User Summit CTF, Defcon DFIR CTF 2018 writeup

最近、DFIR系のCTFに2つ参加したのでその紹介と全体像に対するwriteupです。

SECCON 2018 国内決勝の復習

12月23日に開催されたSECCON 2018国内決勝にTeam Enuのメンバーとして参加させていただきました。力不足だったので復習も兼ねてメモを残しておきます。主に関わった宮島という問題です。

セキュリティ・キャンプWS - The Anatomy of Malware 完全版

3月23日に「セキュリティ・キャンプWS - The Anatomy of Malware 完全版」に行ってきました。 この講習に参加して感じたことについてメモを残しておきます。 公開する情報については注意を払っているつもりですが、公開してはいけない情報が含まれていればご…

アセンブリで書かれたRC4は見た瞬間分かるか

先日、Japan Security Analyst Conference 2018に行ってきました。中津留さんの講演が終わってからの質疑応答で次のようなやり取りがありました。 Q: どうやって解析の効率化をしていますか? A: pythonスクリプトを書いたり、あとは経験でRC4とかぱっと見で…

.gitディレクトリをwebサーバの公開ディレクトリに保存することについて

webサーバに.gitディレクトリが公開されている状態でどういったリスクがあるのかについてメモしておきます。webサーバ [root@localhost html]# cat /etc/redhat-release CentOS release 6.7 (Final) webサーバにアクセスしてみた結果 % curl http://target/.…

フルポートスキャンから開放ポートを隠す方法

フルポートスキャンされた場合でも、全ての開放ポートを特定されない方法とその原理のメモです。 ※今回はTCPに限定しています。

heartbleedをiptablesで止めることについて

前書き OpenSSLの脆弱性(CVE-2014-0160)が公開されました。 詳細はpiyokangoさんの素晴らしいまとめを参照してください。 OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyologエフセキュアブログにて、トーマツの岩井さんが書いた興味深…

linuxのARPに対する挙動

linuxで不思議だと思う挙動を見つけたのですが、どうやら仕様みたいです。 複数NICを持ったlinuxマシンを用意(eth0, eth1) eth0(MAC=aa:aa:aa:aa:aa:aa) : 172.16.0.100/16 eth1(MAC=bb:bb:bb:bb:bb:bb) : 172.16.0.200/16 eth1はケーブルがつながっていない…

セキュリティ・キャンプ2013

セキュリティキャンプ中央大会2013というイベントにチューターとして参加してきました。去年は参加しなかったので、プログラミング系のクラスがなくなって初めての参加です。個人的にはプログラミングコースがなくなったことはとても残念に思います。私が201…

オオカミ少年の解釈

辻村深月著「名前探しの放課後」(Amazon:上・下)で個人的に面白いと思った解釈がありましたので紹介させて頂きます。 ※本文の一部を引用しますので、未読の方はご注意ください。

SECCON CTF 福岡大会の問題

CTF

SECCON CTFの筑波大会に出場させて頂けることになりました。 他チームは各所で活躍されている方々が参加されるということもあり、勝ちを狙うのは難しそうなので、チーム全員で楽しんで出場できたら良いなと思います :)今回のCTFをきっかけにセキュリティ&プ…

Androidの通信記録について

Androidが行なっている通信を記録する方法は色々あると思いますが、簡単にメモしておきます。 実機の場合 PC側でソフトウェアAPを立てて、WiFiでPCを経由させる。 エミュレータの場合 当然、エミュレータを動かしているPCでtcpdumpなどで通信を監視しても良…

crackme0.apk

先日、Androidアプリによって大量の個人情報が流出したとしてNHKでもスマートフォンを題材に取り上げた番組を行っていました。 そこで、自身の端末にインストールするアプリはしっかりと見極めなければならないと思います。 ただ、Google Playの利用規約は以…

Sleuthkitのtsk_recoverについて

CTF

@19x19: tsk_recoverだと復元できない @19x19:@yasulib 検証ありがとうございます、復元先ディレクトリにfooディレクトリを作るとうまく行きました。 @19x19: @yasulib こちらBT5に入ってたSleuth kit 3.2.1、ソース書き換え無しでディレクトリ作成だけでエ…

ichirin2501さんのフォレンジック問題

CTF

元記事:自作したフォレンジック問題 - ichirin2501の日記 削除されているファイルをまとめてExportする時のメモ。 以下、ネタバレ注意

DEFCON18 NetworkForensic

元記事は@ITの「DEFCON18」でハッカーが繰り広げた知的遊戯(草場さん) 元記事では問題の途中まで解き方が書いてあり、興味のある人は編集部に問い合わせれば問題ファイルを頂けるということで、読んですぐにメールを出したら、丁寧に対応して頂けました。…

余り掘り起こすべきことでは無いと思いつつも気になったのでメモ。 先日、セキュリティ&プログラミングキャンプの応募用紙における嘘ということで少し騒ぎになりました。結果だけ書くとそれは「嘘ではなく、書き間違い(という程のことでもない)」でした。…

mayahu32さんのキャンプの感想

元記事 -> 解説 以下、ネタバレです。

GNU httptunnelの改造

キャンプのチューターの応募前に去年のネットワーク組の講義内容を見直していました。*1その中で偽装通信(CovertChannel)のツールは沢山公開されていますが、ソースコードを読んだことがなかったので、いい機会だと思って、GNU httptunnel のソースを追いな…

セキュリティ&プログラミングキャンプ2011

セキュリティ&プログラミングキャンプ2011に参加してきました。昨年はネットワークセキュリティ組に参加者として、今年はソフトウェアセキュリティクラスのチューターでした。チューター決定のメールを見たときに、クラスが替わって、期待されている程の仕…

OWASP AppSec USA 2011 CTF Pre-conference Challenge #1 - May 2011

OWASP AppSecUSA 2011 のCTFのPre-conference Challenge #1の問題についてです。 問題のパケットファイル To try this challenge on your own, download the packet capture, study it, and try to answer the following questions: Which IP addresses were…

SHA1 padding attack

勇士QさんのKernel/VM Advent Calendar 18日目: CTF 暗号問題 - 勇士Qの日記の問題の解答を書かせて頂きます。まだ、解いていなくて、挑戦したいと言う方は以下、ネタバレを含むのでご注意下さい。なお、勘違い部分もあると思うので間違いがあれば指摘して頂…

アナライジング・マルウェア出版記念イベント

アナライジング・マルウェア(サポートページ)の出版記念イベントに参加させて頂きましたので、その時のメモです。5人の著者の方々による読みどころ、デモ、質疑応答等といった内容でした。 Togetter: アナライジング・マルウェア出版記念イベント

初めてのAPIフック

NetAgent主催のNetAgent Security Contest 2010のLevel1をAPIフックを用いて解きます。(他の問題は別記事)

文章にプログラムを埋め込む

12月1日からプログラマの有志の方々によってAdventCalendarが始まっています。(詳しくはgihyoの記事:本日12月1日より,プログラマ有志による技術系Advent Calendarが各所ではじまる) その中の一つのJPerl Advent Calendar 2010のSymbolic Programing Trac…

NetAgent Security Contest 2010

NetAgent主催のNetAgent Security Contest 2010に参加しました。例年はリバースエンジニアリングチャレンジが催されているのですが、今年はリバースエンジニアリングだけでなく、暗号理論、リバースエンジニアリング、パケット解析、デジタル・フォレンジッ…

AVTOKYO2010

AVTOKYO2010に参加してきましたので感想をメモ。内容については他の方々がまとめて下さっています。はせがわさんがブックマークでリンクをまとめてくれていました :) はてなドッグマーク / avtokyo2010

@randomな勉強会

@randomな勉強会に参加させて頂きました。

ブラックハットジャパンその後 関西編

現在の日本のセキュリティ〜ブラックハットジャパンその後 関西編〜に参加してきました。個人的なメモとして記述しています。自分なりに噛み砕いて解釈している部分もあるので間違いなどありましたら教えて頂けると幸いです。

セキュリティ&プログラミングキャンプ2010

重要:この記事は私の判断で書かせて頂きました。気をつけたつもりですが、記述内容が「資料の取扱い」等に違反していたり、個人情報に関わった記述がある場合はyasulib_at_gmail.com(_at_はアットマークに変換して下さい)まで連絡頂きたく思います。 IPA…