防衛省サイバーコンテスト2024-Writeup(供養)

久々にCTFイベント参加したので、Writeupを供養しておきます。 順位は22位だったので久しぶりにしてはまぁまぁ手を動かせた方ではないかと思っておく。 ※ヒントが知ってる内容だった時の悲しみは大きい 一応解いた問題のWriteupを書いておくが全完ではないの…

Qakbot APIHash(2022/6の検体)

はじめに この記事の内容は2022年6月の検体で確認したQbotについての記事です。 API Hashについて API Hashとはマルウェアの解析を妨害する手法の一つである。呼び出すWindows APIをハッシュ化しておき、実行時に動的に解決をすることで、そのマルウェアがど…

Qbotマルウェア解析

はじめに Qakbotと呼ばれるばらまき型メールに添付されているウイルスがある。 事前にメールを盗み返信を装う形で攻撃メールを送付するといったことや、ショートカットファイルやFollinaを使って攻撃をすることも報告されていたと思う。 Qakbotの解析につい…

Qakbotの文字列暗号化(2022/6,2022/9)

はじめに この記事の内容は2022年6月、9月時点での解析で確認したQbotについての記事です。 アンパック後Qakbotの文字列 アンパックした後の検体を見てみると、図のようにほとんど解析に有用な文字列は少ない。「%u.%u.%u.%u」のようなIPアドレスと思われる…

QakbotのC2通信先について(2022/6、2022/9時点)

はじめに この記事の内容は2022年6月および2022年9月時点での解析で確認したQbotについての記事です。 Qakbotのリソースセクション Qakbotをアンパックした後のPEファイル内には二つのリソースが含まれている。 アンパック後のQbotのリソース このリソースに…

SECCON Beginners CTF2022 Writeup [Reversing]

CTF

はじめに SECCON Beginners CTF 2022のReversingのWriteupです。今年はReversingは全問といたのでReversing全問書きます。ちなみにLinuxのバイナリは動かしてないですので、こういう動きするんだろうなぁとは思いながら解いていますが、実際に動的解析しなが…

Kioptrix Level3(#1.3) Walkthrough

CTF

This article shows walkthrough of Kioptrix Level3 Enumeration Nmap $ ipaddr=192.168.174.146 $ ports=$(nmap -p- --min-rate=1000 -T4 $ipaddr | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//) $ nmap -sC -sV -p$ports $ipaddr Starting…

Kioptrix Level 2 Walkthrough

CTF

I write Kioptrix Level2 walkthrough in English for my English training. Kioptrix Level1 Walkthrough is previous post Enumeration arp-scan Use arp-scan to look up vulnerable VM. 192.168.174.144 is the Kioptrix Level2 VM. $ sudo arp-scan 192…

Kioptrix Level1 Walkthrough

CTF

I write Kioptrix Level1 walkthrough in English for my English training. Enumeration First, an Nmap scan revealed what services running on a target. Older version of Apache2 and samba are running. $ ports=$(nmap -p- --min-rate=1000 -T4 192.…

CVE-2021-40444 の検証と緩和策・回避策について

はじめに (2021/09/15) RTFの検証およびWindowsUpdateの検証結果を追加 この記事はゼロデイ攻撃も観測されている、CVE-2021-40444について、PoCおよび緩和策を検証したものである。 今回はRCEによって電卓が起動するdocx文書ファイルを使用したところ、検証…

SetodanoteCTF Writeup

CTF

解いた問題のWriteupです。問題数が多いので、書き漏らしとかもあるかもだし、あんまり解説っぽくはないですが、誰かの参考になれば。 5850点で68位でした。 Misc Welcome 指示通りにやるだけ、ようこそCTFへ flag{Enjoy_y0ur_time_here!} Hash Hashmyfiles…

CakeCTF 2021 Writeup(nostrings, Hash browns)

プログラム内のデータと何らか計算したデータを比較する場合、 プログラム内のデータを楽に取得できるGhidra Scriptを使って解くのが便利。 ということでGhidra Scriptを使ったWriteup とはいっても、Ghidra特有の部分はtoAddrとgetBytesくらい nostrings Gh…

SECCON Beginners CTF2021 Writeup [Reversing onlye_read, children, please_not_trace_me, be_angry]

はじめに 久しぶりにCTFに参加して、思うように解けなかったり、そもそも解き方を忘れてたりして時間かかってしまったので戒めとしてReversingのWriteupを書きます。ただしfirmwareは解けなかったので、そのWriteupはないです。。angrを思い出すのに10分かか…

SANS Holiday Hack Challenge 2020 Writeup

CTF

2020年12月14日ごろから2021年1月11に開催されていた、SANS Holiday Hack Challenge 2020のwriteupです。 SANS Holiday Hack Challengeとは ただ問題をひたすら解いていくCTFではなく、ストーリーがあります。そのストーリーに沿った問題があるので、それら…

日本を取り巻くばらまき型攻撃メールのまとめ(2020/7/17-2020/11/6)

20192020/2/7以降活動停止していたEmotetが2020/7/17から再開して、いろいろなところで感染の報告であったり、注意喚起が飛び交っている状況です。 しかし2020年10月ごろよりEmotet以外の日本語のマルウェア付きのばらまき型攻撃メール(以降、攻撃メールと…

desktopimgdownldrを使ったLOLBin手法の検証

はじめに この記事はSentineloneの記事をまとめ、検証したものになります。 日本語でざっと概要を把握したい方や実際の動作を見たい方向けです。詳細は当然‘Sentineloneの記事のほうが詳しいです。 Living Off Windows Land - A New Native File "downldr" -…

 初心者によるAgentTeslaの解析

はじめに GWに何か解析を行おうと思い、適当にAgentTeslaの検体を入手して解析することにした。 AgentTeslaにした理由は.NETやVisual Basicであるので解析しやすいのではないかと思った次第。解析初心者なのでプロのブログは大いに頼ってます。 Stage1 ISO I…

Malware Traffic Analysis Exercise -STEELCOFFEEを解く

はじめに malware-traffic-analysis.netで公開されているExerciseを解いてみたので、その解法を書きます。答え自体は下記のサイトにあるので解く手順を記載した感じです。 間違ってアクセスしないようにローカルアドレス以外のIPやドメインは意図的に空白を…

ハニポのログ解析-20200105to20200113

はじめに 2020年になり一度からしたハニポを再開しモチベ維持のためブログを書くことにした 以上、次から解析結果 アクセス元と総数について 総アクセス数:404件 トップ3が下のような感じになる。 こういう時にどうするのがベストなのか不明なのでマスクす…

脆弱性診断ツールVulsを使う

はじめに 脆弱性検査ツールには有償のもの、無償のもの様々なものが存在する。すべての脆弱性の検知は無理なので適切な脆弱性検査ツールを用いることがシステムの脆弱性をなくすうえで重要である。 ではどういった条件の時にどのツールを使えばいいのかは調…

ブログ記事非公開のお知らせ

かたわれです。 この度いくつかのブログ記事を非公開にすることとしました。 理由に関しては皆さまお察しの通り兵庫県警の無限アラートの取り締まりの件についてです。 詳細とか詳しいことに関してはいろいろな方がブログ出しているのでそちらをご覧いただけ…

Security JAWS 参加記

今更なんだが参加記を残しておくことにしました。 全体的な感想 初のSecurity JAWS参加でしたがとても楽しめました。 全体的な満足度は高めです。次回もぜひ参加したいと思っています。 Amazon Cloud watch logs insight by Nakashima Tomohiro お話の流れと…

技術書典5参加してきたよ Alice's Atelier け25

はじめに 技術書典に初めてサークル参加した記録です。 備忘録かつ技術書典に出展したいなぁと考えてる人の助けになればと思い、申込から本番まで書いていこうかなと思います。 覚えてたことをざーっと書くので文章の乱れは見逃してください。 参加申し込み …

PowerShell Empireを使う

はじめに PowerShell Empireというペネトレーション用のツールがあります。今回はそれを使ってみましたという記事内容です。 当然ですが、自分のローカル環境以外で試してはいけません。試すときもインターネットから切り離して行うようにするとよいでしょう…

LSB Decryption Oracle Attack

まえおき LSB Oracle Attackについての記事です。この記事は証明ではなく、この攻撃が成立する性質についての理論解説になります。 2分探索によって元の暗号文が得られるのですが、なぜ2分探索を利用することができるのかということの解説ではなく、2分探索…

WindowsのPythonでMySQL80を触ろうとしたら躓いた話

本題 MySQLが8.0になった際、認証周りで変更があったため、Pythonから触ろうとしたらいろいろ躓いたのでそれらをまとめた。 なお環境は下記のとおりである。 OS:Windows 10 Mysql 8.0 Driver: mysql-connector-python-rf 発生したエラー Traceback (most rec…

コンボリューションを考える

数学ガールの第7章、コンボリューションを読んでるだけでは理解できなかったので手を動かしてみることにした 母関数の積までは読んでて理解できたので図書室からスタート 前提の問題 \begin{align} 0 + 1 + 2 &= (0 + (1 + 2) ) \\ &= ((0 + 1) + 2) \\ \end…

大学院に行くということ

卒業式は迎えてないのですが、卒業式参加者のリストに自分の名前があったので、私が大学院に進んだモチベーション、およびそれを達成できたのかどうかということを書き連ねたいと思います。 要はポエム記事、長いです。基本的に文句っぽいものがでたとしても…

換字式暗号(弊研究室の某課題について考える24日目)

はじめに この記事は弊研究室の某課題について考えるの24日目の記事になります 今日は換字式暗号についてです。シーザー暗号とかヴィジュネルとかですね シーザー暗号 シーザー暗号はローマ皇帝、ガイウス・ユリウス・カエサル使用した暗号で、辞書順の文字…

CSRF(弊研究室の某課題について考える19日目)

はじめに この記事は弊研究室の某課題について考える19日目の記事です 今日はCSRFの話、正直言葉は知ってる人多いと思うけど内容知らない人が多そうだと思ったので記事にします。CSRF自体の解説は他のサイトでもいっぱいされているのでそっちを見てもよし! …