うさブロ

ぼっちなうさぎのセキュリティラボ

とある親父の侵入実験【Vulnhub Walkthrough - Lampião: 1】

最近、VulnhubというVMのイメージを公開しているサイトを活用してぺネトレーションテストのお勉強。 今回は「Lampião: 1」をやってみる。説明からは「脆弱性のあるマシンを作ったからrootを取ってね」という事なんでroot取るのを目標にがんばる。レベルはイ…

MNCTF2018 writeup

久しぶりのCTFに参加してきました。もう毎年恒例の行事になりつつあるMACNICAさんのMNCTF! 今年は、昨年までと違って気が楽!だって、変に勝ちを意識しなくて良いからw (まぁ、意識していても勝っていた訳じゃないですけどねw)今日は、問題を解く事を楽し…

作戦は奇を以って良しとすべし MNCTF2017 WriteUp

作戦は奇を以って良しとすべし 凡そ戦いは、正を以て合い、奇を以て勝つ。故に善く奇を出だす者は、窮まり無きこと天地の如く、竭きざること江河の如し。終わりて復た始まるは、四時是れこれなり。死して更生ずるは日月これなり。 さてMNCTFの時期がやってき…

ご注文はスマホですか? 【NetHunterの作り方(Nexus 5)】

12月2日にこんな話をする機会をいただきました。 speakerdeck.com ハッキングガジェットに関する話で、実際の展示とかを失敗を交えながら披露させてもらえましたw 今回はLTで紹介した「NetHunter(Nexus5)」の作り方をまとめてみた。 そもそもNetHunterとは…

Re:ゼロ円から始める解析者生活 【解析環境】

前回までの話 ra66itblog.hateblo.jp ra66itblog.hateblo.jp 解析環境 仮装環境を導入して、日本語化も済んだのでいよいよ解析環境を構築していきたいけど、1から揃えるのは何気に骨が折れる・・・。そこで今回は、これを利用する。 github.com 「FLARE-VM …

Re:ゼロ円から始める解析者生活 【日本語化】

前回までの話 ra66itblog.hateblo.jp 日本語化 インポートしたままだと英語環境で、さすがに厳しかったので日本語化した。 1. 「Contorol Panel」→「Clock, Language, an Region」を選択 2. 続いて「Add a language」を選択 3. 「Add a language」を選択 4. …

Re:ゼロ円から始める解析者生活 【導入】

Malwareの解析をやりたいなぁって思った。 でも、ウチはMacで、Windowsじゃないんだよね(T ^ T) Macでも解析はできなくはないと思うけどやっぱりWindowsが良いよね。でも、仮想環境からOSまで揃えるとかなりの出費になる・・・。 そんな金はない! てな訳で…

とある親父の侵入実験【Netcatの使い方】

今更感が半端ないんだけど、便利なネットワークツール「Netcat」の基本的な使い方を勉強してみたのでまとめておく。 今回は以下のサイトを参考にして勉強しました。 www.hackingarticles.in Port Knocking nc IPアドレス ポート番号 ncコマンドを使用してポ…

地雷探しに脆弱性を使うのは間違っているだろうか 〜Hack a Minesweeper〜

※これは、2017/06/03に「Akibasec #1」で喋ったLTを再編集したものです。 マインスイーパーってゲームを覚えていますか?若い人はもしかすると聞いたことないかもしれないんですが・・・。昔のWindowsには標準でインストールされているゲームで、いい感じ時…

とある親父の侵入実験【NetcatからMeterpreterへ】

今日のお題は「Netcat」 Netcatは、Unix系OSコマンドラインアプリケーションの一つ。TCPやUDPのパケットを読み書きするバックエンドとして機能するツールで、ネットワークを扱う万能ツールとして知られる。後にWindows版なども登場している。 Netcat - Wikip…

目的が先か、手段が先か

ここ最近、ずっと悩んでいた。 kali linuxは、とても便利なペネトレーションテスト用のOSだと思う。ツールも豊富で、2000個以上?用意されているらしい。もしこれを自分で全て一つずつインストールしていったらどんだけの労力なんだろうか?そう考えると本当…

感謝するココロ 〜辻さんの本を読み終えて〜

あなたのセキュリティ対応間違っています 作者: 辻伸弘 出版社/メーカー: 日経BP社 発売日: 2016/10/21 メディア: 単行本 この商品を含むブログ (1件) を見る 辻さんの「あなたのセキュリティ対応間違っています」という本をAmazonでポチって読み終えました…

当たり前のことを当たり前のようにする 〜CODE BLUE Hack-a-Tronに参加して〜

先月20日、21日とCODE BLUEというイベントが開催されていました。セキュリティに関するイベントなんで是非参加したいなぁっと思っていたのですが、高いw なんたって早期割引でも税込41,040円、当日料金に至っては75,600円!まず、無理・・・。 そんなわ…

ゆるそうでゆるくない勉強会 リターンズ

5ヶ月ぶりに「ゆるいハッキング大会 in TOKYO」に参加してきました。 第18回 ゆるいハッキング大会 in TOKYO 開催 | ITオフィスサポートとシステム開発|システムガーディアン AWSクラウド導入|東京都中央区八丁堀 前回よりも立地の良い会場で、茅場町駅の出…

とある親父の侵入実験【Live USB】

あるセミナーで、こんな事を言われたのを思い出した。 「ハイスペックな高級ラップトップを使ってハッキングを繰り返してて、足がついた時どうする?」 確かに高いラップトップを使えば処理も早いと思うけど…、足がつくって発想は無かったな。と、言うか足が…

秋田に行ってみた CSS2016

今回初めてCSS (Computer Security Symposium)2016というものに参加してみた。 会場が秋田というので、のんびり新幹線に揺られて行きました。 当然、長旅なのと今回の相方が、理解し難いオッさんという事もあって凹んでます。だから朝から飲みましたよ!(;…

気分はハッカー!・・・演出だって必要なんです。

みんなのイメージとは違うんです! いきなりですが、多くのセキュリティを知らない人たちのイメージする「ハッカー」っていったらこんなイラストの人を想像すると思うんだけど・・・本当は違うんですよ! ハッカーとはなんぞや?なんて語りませんけど、みん…

Kali Linuxが、新しくなったそうです

BlackHatも終わったし、そろそろかと思っていたら8月末に新しいヤツが出てましたね。 www.kali.org しかも、今回のバージョンではインターフェースを選べるようになってる!用意されているのは「MATE」、「LXDE」、「e17」、「Xfce」の4種類。 別にいつも通…

【3時間クッキング】ラズベリーパイを作ってみる!

夏休みだし、ちょっと3分クッキング的なことをしてみる 材料 ラズベリーパイ2 Model B ラズベリーパイ用ケース miniSDカード microUSB電源ケーブル ヒートシンク 少々 キーボード あれば 作り方 1 ラズベリーパイにヒートシンクを取り付ける。 2 ラズベ…

とある親父の侵入実験【便利技】

ペネトレーションテストなどをやっていると、何度も繰り返し侵入してみたりする。その度に待ち受け用のHandlerを指定したりするのも結構手間である。 そこで、手抜き技と言うかMetasploitの便利な仕組みとしてのリソースファイルを活用する。このリソースフ…

とある親父の侵入実験【潜伏(インジェクション)】

上手く侵入できても、不審なプロセスとして止められてしまっては意味がないので、別なプロセスとして偽装し潜伏させるのが御作法らしい。 まずはmeterpreterでsessionの確認 最初に作成されたセッションが確認できる。 msf > use exploit/windows/local/payl…

とある親父の侵入実験【nmap編】

御坂美琴の様なツンデレが好きですが何か? 今後、ペネトレーションテスト的な需要が増えそうなので頻繁に使うツールについてまとめておこうと思う。基本的にKali Linuxを使用することが前提でまとめる。 尚、ここでの攻撃対象はMetasploitableを用意してい…

WordPressを調査する

WordPressです。 とてもお手軽にサイトを作れるってのでお馴染みのWordPressです。でも、コイツやたらと脆弱性情報界隈を賑やかしてますよw そんなわけで、実際にWordPressってのがどれだけ攻撃者からお手軽に狙われやすいのか調べてみます。 本日のお品書き…

マクニカよ!私は帰ってきた!! MNCTF2016 writeup

『待ちに待った時が来たのだ! 多くの英霊が無駄死にで無かったことの証の為に・・・ 再びジオンの理想を掲げる為に! 星の屑成就のために! ソロモンよ!私は帰ってきた!! 』 金曜日の朝、品川に着いた時はこんな気分でしたよw まぁ、結果としてはガトー…

Re:ゼロから始めるMNCTF2015 writeup

俺のエミリアたんはどこだ? 俺のレムりんはどこだ? 俺の人生、もうだいぶ詰んでるよ。 後輩が、どんどん俺の役職を抜いていくよ。 もう落ちるとこまで落ちてるよ。 いつになったら死に戻りできるの? これが現実なんだね・・・。 さて、そんなことは置いて…

Armitageともう少し深い関係になってみる

誰も待ってませんねw 今回、色々あってセキュリティ業界から足を洗おうと思っていたんだけど、出来過ぎな後輩達のおかげでやり直すことができました。マジ感謝です。 俺の面倒くさいグチに付き合ってくれて、「セキュリティに関する情報収集はもうやめた」と…

「Safari:ユーザー調査」に釣られてみた【6/13 18:20更新】

色々とサイトを見て回ってるとたまに釣られるのよね。ネットを回遊してたら一本釣りみたいな?w 今回、釣られたのは「safariのユーザー調査」 なんかアンケート調査に協力すると「何か」を獲得するチャンスを得られるらしい…。(回りくどい) これが、そのア…

黒板アート 完結編?

昨日の予告が気になって今朝も黒板アートを見に来たら…まだ、仕上げ途中だった!黒板アート描いてる途中だった #DQ30th pic.twitter.com/eEbbsnXbpl— Mr.Rabbit@ Neceso scias neniun leĝon. (@01ra66it) 2016年5月26日こういうの見るの初めてだったから作業…

黒板アートのその後

昨日、こんなツイートを見たので気になった。堀井さんの、かいしんの一撃があああぁああぁ!堀井さんも「忍びない…」「悪者になった気分」とのことでした(笑)大役、お疲れ様でございます!/サイトーブイ #DQH2 pic.twitter.com/EM1iMACMI4— Vジャンプ編集部…

黒板アートを愛でる朝

きれいな色してるだろ。うそみたいだろ。黒板アートなんだぜ…。それで。うっかりすると明日には消されてしまうので、遠回りして見てきた。一ヶ月かけて描き上げたそうです。ドラクエの超巨大黒板アートが新宿駅にあらわれた! 人気画家れなれなさんが約1カ月…