きなこもち。

(´・ω・`)

【今年の失敗も】2019年はありがとうございました【振り返り】

ちょっと早いですが、タイトル通りです(´・ω・`)

内容自体はただの振り返り&プチ近状報告みたいなものです(CTF要素はないよ!) 

 

 

2019年に何があったのかは過去のエントリ↓を読んでいただけると多分わかっていただけると思います(つまりだいたい就活、あとはCTFやってたくらい)

 

kinako-mochimochi.hatenablog.com

 

さて、このエントリでは今年自身に起こった変化や、色々秘めていたことなどなどを書いていこうかなと思います(´・ω・`)

 

今年「自分、変わったな」と思うこと

1.性格が明るくなった

元々笑い上戸な面もあるのでよく笑う方だったのですが、1年前はあんなこと(過去エントリ参照)があったので、明るくなるにもなれなかった自分ですが、様々な方に支えていただいたおかげで、色々調子もよくなり、性格が元どおり明るくなりました笑

Twitter上でもなるべくネガティブなことは呟かないようにしています。たまに愚痴りますが笑

でも、呟いたところで現状は何も変わらないですからね。

これからも明るいこと、冗談多めに呟いていきたいです(  ・`ω・´)

 

また、今年は東京や神戸、福岡などにお邪魔する機会があったのですが、どこに行っても「ブログの記事見ました!」とか「今夜お時間あったらぜひ!」といったお言葉を頂きました。

本当に嬉しい限りです🙇‍♂️

個人的に1番楽しいのはこういった方々と食事をつまみながら談笑することなので、お気軽にお誘い頂けたらと思います!

また、こちらからお誘いする場合もあると思うので、その場合はよろしくお願いします🙇‍♂️

 

続きを読む

幻の就活エントリ(`・∀・´)

f:id:kinako_mochimochi:20191113211326j:plain

こんにちは〜きなこです(´・ω・`)

もうすっかり冬ですね。

私は今内定先へのインターン中で、現在東京に滞在しているのですが・・・

f:id:kinako_mochimochi:20191113211625g:plain

東京サイコ〜〜〜〜〜〜〜〜〜〜〜!!!

おのぼりさんとバカにされてもいいです、僕はずっとここに住んでいたい(´;ω;`)

 

 

 

来春から内定先で開発に行くか、セキュリティに行くかはまだ迷っている最中なのですが、今はとりあえずセキュリティをゴリゴリやっています('xωx')

 

また、冬ということは就職活動の時期が近づいてるということでもあり、Twitterではその手の話をちらほら見かけるようになりました。

というわけで、今回は「留年・留学失敗・文系」という立場から就活をして、経験したことを残し、誰かのお役に立てば、と思って久々にブログを書きます(; ・`ω・´)

 

続きを読む

SECCON CTF予選参戦記+writeup

10/19(土)~10/20(日)に開催された、SECCON CTF 2019にチームContrailとして参戦しました。

初のSECCON CTF予選でしたが、非常に楽しかったです(`・∀・´)

 

なお、当記事は「writeupだけ読みたい」という方のために、writeup→参戦記という形を取っています。

 

[Web] web_search

Description:

Get a hidden message! Let's find a hidden message using the search system on the site. f:id:kinako_mochimochi:20191020181457p:plain

 

指定されたURLに飛ぶと、RFCを検索できるアプリが稼働してます。

サーバサイドのソースコードはヒントとして与えられていなかったため、
あれこれ思案した結果SQL injectionだとアタリをつけました。

続きを読む

InterKosenCTF writeup【uploader,Temple of Time, Image Extractor】

uploader

f:id:kinako_mochimochi:20190813231352p:plain
uploaderの名の通り、ファイルをアップロードできるサイトにアクセスできます。


ソースの脆弱な部分は以下の"WHERE instr(~~~"の一文。

$files = [];
// search
if (isset($_GET['search'])) {
    $rows = $db->query("SELECT name FROM files WHERE instr(name, '{$_GET['search']}') ORDER BY id DESC");
    foreach ($rows as $row) {
        $files []= $row[0];
    }
}

GETメソッドで受け取った値がSQLのクエリにそのまま展開されるので、
$_GET['search'] = "') UNION SELECT passcode FROM files -- -"
としてやればUNION-based SQLiが成功し、アップロードされているファイルに設定されているパスコードが全て表示されるので、flagが書いてあるであろうsecret_fileをDLしflagゲット



KosenCTF{y0u_sh0u1d_us3_th3_p1ac3h01d3r}


UNION-based SQLiは私の好きなSQLiの1つなので通せてよかったです。

続きを読む

4月を振り返る。

平成も終わりだ・・・(´・ω・`)

 

こんにちは、きなこです。

はてなブログが1ヶ月記事投稿してないよって通知を送ってきたので、4月のを振り返って色々書いてみます。

 

1.就活なめてた

はい。なんと4月1日、朝起きると同時にお祈りメールをいただきました(´;ω;`)

東京のまあまあ大きめのWeb系だったので、結構ショックでした・・・

(面談で未経験からフルスタックエンジニアなれるとか言ってたけど、ほんとかなぁ〜〜〜?)

 

本命の企業は一次面接のとき、面接官のエンジニアの方からも色々やってることを褒められたので、「おっしゃ、二次面接もこの調子で!」と意気込んでいました。。。

 

続きを読む

生存報告とか色々

こんにちは、きなこです(´・ω・`)

 

久々にブログを更新しました、滞ってしまって申し訳ないです(・ω・;)

 

 

前回の記事、予想の10倍ほど反響があってびっくりしました。

その節はどうもありがとうございました(^ω^)

(実はハリネズミ本の著者の方々からもメッセージを頂きました、皆さんには感謝してもしきれません(´;ω;`) )

 

kinako-mochimochi.hatenablog.com

 

 

 

 

また、皆さんのおかげで、セキュリティ系のベンチャー企業様に記事を書かせていただく機会を頂き、貴重な経験もさせていただきました〜

 

↓その記事(リバースエンジニアリング初心者向けの記事です!)↓

www.ninjastars-net.com

(株式会社Ninjastars様のブログに飛びます)

 

 

今後ともよろしくお願いします!!!

 

 

 

 

あとはたわいもない現状報告(´・ω・`)

  • 就活
  • CTF
  • その他
続きを読む

CTF初心者が考えるCTF入門

2023/07/22 『初めてのマルウェア解析』を追加しました。

2022/12/25 『実践バイナリ解析』を追加しました。

2021/8/22 『詳解セキュリティコンテスト ~CTFで学ぶ脆弱性攻略の技術』を追加しました。

2021/2/20 Web Security Academyの紹介を追記しました。

2021/1/1 一部の参考書を刷新いたしました。

2020/5/3 記事を書いて1年以上経ったので、大幅に加筆&修正いたしました。

 

どうも、きなこです(´・ω・`)

 

先日ツイートしたCTF初心者についての内容がちょっとばかり反響があったこと、そして、私自身がCTFに関して右も左も分からない状態から、ある程度経験を積んだことにより、簡単な問題なら解けるようになったので、今日はCTF初心者から考えた、CTF初心者向けの学習の道筋を書こうと思います(´・ω・`)

 

 

ちなみに私はSECCON等各種大会に出場経験は一切ありません(´・ω・`)デタイ

 

 

 

読者対象

  • CTFに興味があるけど何をしたらいいか分からない人
  • いわゆるハリネズミ本を購入してみたものの、よくわからずCTFを投げた人
  • 身の回りでCTF for beginnersのようなイベントが開かれない地域に住んでいる人

 

続きを読む