読者です 読者をやめる 読者になる 読者になる

撤退

参加報告を記します.

MMACTF1st 2015に参加した

MMACTF1st 2015に参加した

遅くなってしまった…

トレンドマイクロCTFに出ようと思って精鋭をチームに誘ったは良いけどチームCTFの経験がなかったので,参加してみました. 1問も解けない:;(∩´﹏`∩);:ということはギリギリなかったので一応write upを書こうと思います.

write up

Smart Cipher System

1

MMA{から始まるのと平文とその後で1対1対応.

2

1対1対応だからテーブル作った(思考停止)

3

n-1文字目とn文字目でn文字目の値が決まって色々考えたけど手で試していいやと思って紙とえんぴつを使ってやった.あとでチームメイト

    s[0] ^ len(s) || s[0] ^ s[1] || s[1] ^ s[2] || ...

だよと教えてくれて,"ああっ"ってなった.

Login as admin

どこかで見たことがあるような問題だったので,少しだけ頑張ってカラム名を見つけて,大文字が入っていたら後で修整しようと考えながらLIKE検索しました.大文字が入ってなくて良かったです.

Splitted

2個目のtcp stream見るとPKから始まっててzipだって分かったけど,連結できなくて血涙を流してたら

HTTPヘッダーのcontent-rangeがchunkの対応するoffset領域なので、それみてください、まる

チームメイトがおっしゃるので"あそうか(無垢)"となって無事ファイルを出しました.そんで出てきたファイルをgimpで開いて終わり.

Signer and Verifier

VerifierにつなぐとSign it!と言われるので署名すればいいのかとなり,色々調べてこれでいいなという感じになり,pythonでちょいちょいと書いて,

uが偶数なら成功するコード(雑)を書いて終わり.

MQAAAA

最後に==が見えたので無心でbase64デコードしたら

    #@~^MQAAAA==    Um.bwDR+1tKcJtH)    Dtnm6VlTmhKDN|rd{K46EdmCObWU8rbjRIAAA==^#~@

という文字列が出てきて良くわかんないよ~~~となりつつググったらVBScript関連ぽいということがわかりそれをslackに投げた.その後バイトの疲れからか黒塗りの車で寝てしまい朝起きたらチームメイト

あ、それ、ヒントみたいでしたね☆

というコメントを残してflagを通していた… 一応自分で解いたので自分が通したわけでは無いけど復号用のコードも載せておきます.

感想

誘った二人のチームメイトが強くて事務担当みたいになっていたけど,面白かったので良かったです. 運営の皆さんありがとうございました.

Webもpwnも全然解けていないので,CTFに馴れて今後は解けるよう頑張っていきたいと思います.

セキュリティ・キャンプ九州に参加した

セキュリティ・キャンプ九州に参加した

ここにも書いてあるけど,セキュリティ・キャンプ九州に無事通ったので参加してきました.

博多に行くのは人生で二度目で,前回は新幹線で行きましたが流石に辛かったので今回は飛行機で行きました. 飛行機はこの間の台湾の事故を見てからビビっていましたが,特に問題もなく飛んで現代科学に感謝しきりの往復となりました.

参加した理由

基本的には前回のSANSと同じですが,実は九州のキャンプは他の地方キャンプと比較して1泊長いので,より多くのことを学べるのではないかなと期待して応募しました.

あとは他人よりもこういったものに参加しようと思い始めたのが遅いと自分では感じているので,より知り合いを増やすためにもできる限り参加して知見を広げていきたいなと思っています.

感想

キャンプ全体の感想と簡単にはなりますが,それぞれの日にちについて感想を書いていこうと思います.

総括

いつもそうなのですが,今回は特に色々な方のサポートをひしひしと感じながら合宿を過ごしました. まず,これだけ豊富な講義を全て無料で受けられるというのはそれだけでよくわからないですし,それ以外にも宿泊施設や食費も無料なので参加する敷居はとても低くなっていると思います. それ以外にも事務の方に様々な面でなかなか有料でも受けることのできないような親切なサポートをしていただき,大変感謝しております.

各講義に関する感想などはあとで詳しく書くとして,合宿全体の感想では参加者同士の交流の機会が意図的に多くなっていて,また参加者も皆熱心なので話しやすいという特徴が挙げられます. 自分はあまり他人とのコミュニケーションを取るのが得意では無く,すぐSYNがきてもRSTを返すの人間なのですが今回はちゃんと色んな人と話せて良かったなと感じています.特に自分が成長したという感じでは無いので,同様な趣味を持つ人々と話す機会があれば打ち解けやすいということだと思います.

また,これだけに収まらないのがキャンプの凄いところです.キャンプの講師陣とも話す機会が多く用意され(初日夜,二日目夜など)講師の方達から様々な話を聞くことが出来ました.

自分から行けば話を聞けるというのは多いですけれど,機会を提供していただけるというのは中々ないと思います.こういうところからも講師陣並びに運営の皆様の熱意を感じました.

初日

一般講演及びパスワードに関するグループディスカッション,パケット解析でした.

パケット解析は一回体系的に学ぶ必要があるかなあと感じていて,今回の講義を通してよりその思いが深まったので,1冊本を読んでみようかなと思います. 皆で相談しながらパケットを解析するという機会も周りに人が居ないとできないと思うので,やはり良い体験だったと思います.

宿までの移動もタクシーで部屋毎の移動だったり,宿も大浴場付きの和室だったりと快適でした.この辺りも運営の皆さんに感謝です! あと,最後の感想でも言いましたがルームメイトが個性的な佐賀男児と優しく真面目な先輩だったので面白かったです.

二日目

FuelPHPでchatサイトを作って脆弱性診断を行いました.

普段cakePHPでサイトを作らされてるのでMVCを体で感じていて,そんな感じで頑張りました. なんかうまくいかないなーと思ったらviewのファイルの拡張子をctpにしててこう色々とやられてるなあと感じました.

課題1,2もとりあえずやってみたのでGitHubに上げておきました. なにか問題があったら修整しといて下さい(丸投げ

脆弱性診断も今まではふんわりここが問題かなあという感じでしたが,OWASPできちっと定義して色々ディスカッションをできたのは良かったと思います. あとログアウトはCSRFの対象外というのも新たな知見でした.

夜には弁護士の吉井先生の講義にて模擬裁判を行い,自分の業務も責任を持って行うことの大切さやインシデント管理の大切さを痛感しました. 弁護士の先生を招いてこういった技術分野に深く絡んだ話を聞けるのも他にはあまりない九州キャンプの魅力だと思います.

三日目

Raspberry PIを使って色々やりました.

ARMアセンブラを書いたり,telnetloginを変更してバックドアを作ったり,Lチカをやったりしました.

自分はMIPS(独自実装あり)アセンブラやらx86アセンブラは色々と触ったことがありましたが,ARMは初めてで色々と面白かったです.

バックドア作成も面白くて,よりこの辺りのシステムプログラムを見ていこうと思いました.

Lチカに関しては,ドライバの作成という部分が時間が足らずやれなかったので近いうちにやってみます.

反省

事務の方に何回かご迷惑をおかけしたので,その辺は反省して次回このような機会がありましたら良く確認して慌てたようなミスをしないよう気をつけたいと思います.

あとはブログを書くのに時間が掛かったことですかね…

なんにせよ色々な方々と交流することが出来たり,色々な話を聞くことができてとても面白かったです.繰り返しにはなりますが運営の皆様,講師の皆様に大変感謝申し上げます.

SAN NETWARSに行ってきた

SAN NETWARSに行ってきた

自分はこういったワークショップに参加するのは初めてでした. 今までこういったワークショップ系の感想で濃い時間を過ごしたみたいなことを書いている人を見て,そらようござんしたと思うことが多かったわけですが,なるほどこういった時間は濃い時間だと感じられたので参加した意義はとてもあったと思います.

参加した理由

興味のある分野(ここではセキュリティ)についてより深い内容を学びたいと思ったときに,自分で学びを進めていくのは個人差があれど限界があるので,是非その分野を専門とする人の技術的な話を聞いてみたいと思ったからというのが最大の理由であります.

次に,こういった技術についての話が出来るような人と知り合えたらなということで,興味のある人たちが集まる場所に行きたいというのも理由のうちの一つです. しかし,残念ながら今回は運営側の人からは最大限の他受講者との交流の機会を頂いていたにも拘わらず,自分がそれを生かし切れなかったので,この部分については反省点となりました.

感想

まずTimがでかい.みんなもハンバーガー沢山食ってデカくなろうな.

先にも書いてありますが,初日,二日目ともに面白かったので良かったです.

講義では自分の知らないことや疑問に思っていたことを知ることが出来て大変勉強になると共に,面白かったです.やはり,演習で手を動かすのは頭に入ってきて良いですね. あとTwitterでの補足がすごくわかりやすかった(帰って確認してから気がついた)ので"うわ,リアルタイムで見とかなきゃだめだったか!"と若干後悔しました(笑)

二日目のCTFは,自分はオフラインCTF初体験ということでドベになって悲しい思いをしないか心配でしたが,いわゆるCTFとは結構形式が違うらしく普段PCを良く触っていれば序盤はなんとかなるといった感じだったので,自分が考えていたよりは出来てその点については良かったなと思いました. 一方で,負けず嫌いな自分が,"これではまだまだ足りない,今後もっと頑張っていこう!"と思っている面もあります.これは短時間でどうにかなる問題では無いと思うので,少しずつ確実に頑張っていこうと思います. あと,CTFに関してはアンケートにも書いたけど,やはり簡単なフィードバックがあった方が嬉しいなと思いました.(分からなかったものがそのままなのは辛い)

9月1日追記 SANSからメール来て確認してみたら,21位だった.

反省

さっきも書いたけどコミュ障厳禁.

あとは細かい反省になるけど,Windowsマシンが必要ということで旧愛機であるAsusのウルトラブックであるZenbook持ってたら字が細かすぎて目がイカれた.普段USキー使ってるから久々のJPキーで死んでしまった(配布LinuxはUSキーだったからCTF時は全然問題なかったけど). 今度はWindowsVM上で動かせば良いかなと思いましたとさ.

まとめ

つらつら書いてきましたが,端的に言って面白かったので来年もあれば是非申し込みたいと思います. その時も運良く抽選に通れば良いなと今から素行を良くしておく所存でございます.

-もし,来年も通ったら俺,レベル3の問題を解くんだ…-

SublimeTextでTwitterする

Sublime Textを良く使っているのですが,突然Sublime Text上でTwitterをしたくなったので作りました.

github.com

tweepyとsublimeAPIを使っているだけで特に複雑なことはしていない簡単な物です. tweepyを無理矢理使っているのでpathを通す必要があるのはちょっとどうなのかなという感じですが…

あとtweepyのドキュメント(http://tweepy.readthedocs.org/en/v3.2.0/api.html)読んで関数を使おうとすると軒並み関数名が違う(listの一覧を取得する関数はAPI.lists()って書いてあるけどAPI.lists_all()とか)しバージョンも違う(3.2と3.3)ので色々と面倒.

セキュリティキャンプ九州に行く

出不精な僕だけど申し込んだら通りました. 全国大会はお祈りだったので素直に嬉しいです.

関東出身,在住の僕で行けるそうなので人数が定員に達してなさそうですね.

なんにせよ頑張ります.参加者の皆様はよろしくお願いします.

参加後訂正

倍率は2倍あったらしい(驚

Python言語によるプログラミングイントロダクション: 世界標準MIT教科書を読んだ

Python言語によるプログラミングイントロダクション: 世界標準MIT教科書

Python言語によるプログラミングイントロダクション: 世界標準MIT教科書

最近読んだつもりだったけどよく考えたら半年くらい前だった.

Pythonを用いた各種簡単なアルゴリズムの実装や,統計的な処理について書いてあって面白かった.

時間があるときに機械学習部分はよく読み返してみたいと思う.