はじめに Zero2Automatedを受講しているのだが途中でPractical Analysisという課題が出た。試験でも解析レポートを作る必要があるのでせっかくなので解析レポートを作る。本番は英語になるけど日本語で書いておく。 検体情報 md5,A84E1256111E4E235250A8E3BB…
はじめに HTB Business CTF 2024にTeam NEC Corporationとして参加してました。順位は70位、私はCloudのScurried, Protrude, MetaRootedとForensicのCaving、CryptoのeXciting Outpost Recon、RevのFlagCasinoを解きました。ほぼVeryeasy.... Writeupは公式…
久々にCTFイベント参加したので、Writeupを供養しておきます。 順位は22位だったので久しぶりにしてはまぁまぁ手を動かせた方ではないかと思っておく。 ※ヒントが知ってる内容だった時の悲しみは大きい 一応解いた問題のWriteupを書いておくが全完ではないの…
はじめに この記事の内容は2022年6月の検体で確認したQbotについての記事です。 API Hashについて API Hashとはマルウェアの解析を妨害する手法の一つである。呼び出すWindows APIをハッシュ化しておき、実行時に動的に解決をすることで、そのマルウェアがど…
はじめに Qakbotと呼ばれるばらまき型メールに添付されているウイルスがある。 事前にメールを盗み返信を装う形で攻撃メールを送付するといったことや、ショートカットファイルやFollinaを使って攻撃をすることも報告されていたと思う。 Qakbotの解析につい…
はじめに この記事の内容は2022年6月、9月時点での解析で確認したQbotについての記事です。 アンパック後Qakbotの文字列 アンパックした後の検体を見てみると、図のようにほとんど解析に有用な文字列は少ない。「%u.%u.%u.%u」のようなIPアドレスと思われる…
はじめに この記事の内容は2022年6月および2022年9月時点での解析で確認したQbotについての記事です。 Qakbotのリソースセクション Qakbotをアンパックした後のPEファイル内には二つのリソースが含まれている。 アンパック後のQbotのリソース このリソースに…
はじめに SECCON Beginners CTF 2022のReversingのWriteupです。今年はReversingは全問といたのでReversing全問書きます。ちなみにLinuxのバイナリは動かしてないですので、こういう動きするんだろうなぁとは思いながら解いていますが、実際に動的解析しなが…
This article shows walkthrough of Kioptrix Level3 Enumeration Nmap $ ipaddr=192.168.174.146 $ ports=$(nmap -p- --min-rate=1000 -T4 $ipaddr | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//) $ nmap -sC -sV -p$ports $ipaddr Starting…
I write Kioptrix Level2 walkthrough in English for my English training. Kioptrix Level1 Walkthrough is previous post Enumeration arp-scan Use arp-scan to look up vulnerable VM. 192.168.174.144 is the Kioptrix Level2 VM. $ sudo arp-scan 192…
I write Kioptrix Level1 walkthrough in English for my English training. Enumeration First, an Nmap scan revealed what services running on a target. Older version of Apache2 and samba are running. $ ports=$(nmap -p- --min-rate=1000 -T4 192.…
はじめに (2021/09/15) RTFの検証およびWindowsUpdateの検証結果を追加 この記事はゼロデイ攻撃も観測されている、CVE-2021-40444について、PoCおよび緩和策を検証したものである。 今回はRCEによって電卓が起動するdocx文書ファイルを使用したところ、検証…
解いた問題のWriteupです。問題数が多いので、書き漏らしとかもあるかもだし、あんまり解説っぽくはないですが、誰かの参考になれば。 5850点で68位でした。 Misc Welcome 指示通りにやるだけ、ようこそCTFへ flag{Enjoy_y0ur_time_here!} Hash Hashmyfiles…
プログラム内のデータと何らか計算したデータを比較する場合、 プログラム内のデータを楽に取得できるGhidra Scriptを使って解くのが便利。 ということでGhidra Scriptを使ったWriteup とはいっても、Ghidra特有の部分はtoAddrとgetBytesくらい nostrings Gh…
はじめに 久しぶりにCTFに参加して、思うように解けなかったり、そもそも解き方を忘れてたりして時間かかってしまったので戒めとしてReversingのWriteupを書きます。ただしfirmwareは解けなかったので、そのWriteupはないです。。angrを思い出すのに10分かか…
2020年12月14日ごろから2021年1月11に開催されていた、SANS Holiday Hack Challenge 2020のwriteupです。 SANS Holiday Hack Challengeとは ただ問題をひたすら解いていくCTFではなく、ストーリーがあります。そのストーリーに沿った問題があるので、それら…
20192020/2/7以降活動停止していたEmotetが2020/7/17から再開して、いろいろなところで感染の報告であったり、注意喚起が飛び交っている状況です。 しかし2020年10月ごろよりEmotet以外の日本語のマルウェア付きのばらまき型攻撃メール(以降、攻撃メールと…
はじめに この記事はSentineloneの記事をまとめ、検証したものになります。 日本語でざっと概要を把握したい方や実際の動作を見たい方向けです。詳細は当然‘Sentineloneの記事のほうが詳しいです。 Living Off Windows Land - A New Native File "downldr" -…
はじめに GWに何か解析を行おうと思い、適当にAgentTeslaの検体を入手して解析することにした。 AgentTeslaにした理由は.NETやVisual Basicであるので解析しやすいのではないかと思った次第。解析初心者なのでプロのブログは大いに頼ってます。 Stage1 ISO I…
はじめに malware-traffic-analysis.netで公開されているExerciseを解いてみたので、その解法を書きます。答え自体は下記のサイトにあるので解く手順を記載した感じです。 間違ってアクセスしないようにローカルアドレス以外のIPやドメインは意図的に空白を…
はじめに 2020年になり一度からしたハニポを再開しモチベ維持のためブログを書くことにした 以上、次から解析結果 アクセス元と総数について 総アクセス数:404件 トップ3が下のような感じになる。 こういう時にどうするのがベストなのか不明なのでマスクす…
はじめに 脆弱性検査ツールには有償のもの、無償のもの様々なものが存在する。すべての脆弱性の検知は無理なので適切な脆弱性検査ツールを用いることがシステムの脆弱性をなくすうえで重要である。 ではどういった条件の時にどのツールを使えばいいのかは調…
かたわれです。 この度いくつかのブログ記事を非公開にすることとしました。 理由に関しては皆さまお察しの通り兵庫県警の無限アラートの取り締まりの件についてです。 詳細とか詳しいことに関してはいろいろな方がブログ出しているのでそちらをご覧いただけ…
今更なんだが参加記を残しておくことにしました。 全体的な感想 初のSecurity JAWS参加でしたがとても楽しめました。 全体的な満足度は高めです。次回もぜひ参加したいと思っています。 Amazon Cloud watch logs insight by Nakashima Tomohiro お話の流れと…
はじめに 技術書典に初めてサークル参加した記録です。 備忘録かつ技術書典に出展したいなぁと考えてる人の助けになればと思い、申込から本番まで書いていこうかなと思います。 覚えてたことをざーっと書くので文章の乱れは見逃してください。 参加申し込み …
はじめに PowerShell Empireというペネトレーション用のツールがあります。今回はそれを使ってみましたという記事内容です。 当然ですが、自分のローカル環境以外で試してはいけません。試すときもインターネットから切り離して行うようにするとよいでしょう…
まえおき LSB Oracle Attackについての記事です。この記事は証明ではなく、この攻撃が成立する性質についての理論解説になります。 2分探索によって元の暗号文が得られるのですが、なぜ2分探索を利用することができるのかということの解説ではなく、2分探索…
本題 MySQLが8.0になった際、認証周りで変更があったため、Pythonから触ろうとしたらいろいろ躓いたのでそれらをまとめた。 なお環境は下記のとおりである。 OS:Windows 10 Mysql 8.0 Driver: mysql-connector-python-rf 発生したエラー Traceback (most rec…
数学ガールの第7章、コンボリューションを読んでるだけでは理解できなかったので手を動かしてみることにした 母関数の積までは読んでて理解できたので図書室からスタート 前提の問題 \begin{align} 0 + 1 + 2 &= (0 + (1 + 2) ) \\ &= ((0 + 1) + 2) \\ \end…
卒業式は迎えてないのですが、卒業式参加者のリストに自分の名前があったので、私が大学院に進んだモチベーション、およびそれを達成できたのかどうかということを書き連ねたいと思います。 要はポエム記事、長いです。基本的に文句っぽいものがでたとしても…