4月版現状報告(´・ω・`)
皆さん、お久しぶりです〜(´・ω・`)
2、3月の振り返りを投稿できずすみません('xωx')
引越し周りの手続きが予想以上に大変&&作業するための机と椅子が届いていないため、ずっと地べたで作業してたのでブログどころじゃありませんでした(A;´・ω・)
3月の半分は引越しで潰れたのであまり大したことはできませんでしたが、軽く振り返りをしておこうかなと思います。
1.コンパイラ自作とPwn
諸事情により中断してます😂
というのも、1月後半にPwnを本腰入れて勉強したところ、ある程度理解が進むようになりました。
そこで、この勢いを殺さないようにすべく、コンパイラ学習に充てていた時間をPwnに振り分けちゃいました☆(ゝω・)v
続きを読む
【2020年も】新年の抱負エントリ【よろしくお願いします】
あけましておめでとうございます、きなこです(´・ω・`)
このエントリは自戒のために書く新年の抱負エントリです('xωx')
つまり、ただの自己満エントリなので読んで得るものはないかもしれません(A;´・ω・)
それでもよいという方は駄文にお付き合いください('xωx')
技術的目標
1.コンパイラ自作
コンパイラは文系の先輩が自作してたということもあり、ずっと作りたいと思っていたのですが、去年はなかなか作ることができませんでした('xωx')
こういう低レイヤの部分にあまり興味はなかったのですが、ふと「そういえばプログラミング言語ってどう動いている?」ということに疑問を持ち、その疑問への答えを得るには実際に自作した方が理解が深まるかな、と思って言語処理系周りを調べていました。
ですが、いきなり自作言語を始めるのもなぁと思ったので、まずは平均的理系学生が自作しているであろうコンパイラを作りたいなと思った次第です。
最近お話しした化け物CTFプレイヤーさんの言葉を借りれば、「コンピュータサイエンスに興味を持ったなら誰しもOS、コンパイラあたりは作るでしょう!」ということだったので、背中を押されたと思って頑張ってみようと思います!(; ・`ω・´)
目標:3月末まで
続きを読む
【今年の失敗も】2019年はありがとうございました【振り返り】
ちょっと早いですが、タイトル通りです(´・ω・`)
内容自体はただの振り返り&プチ近状報告みたいなものです(CTF要素はないよ!)
2019年に何があったのかは過去のエントリ↓を読んでいただけると多分わかっていただけると思います(つまりだいたい就活、あとはCTFやってたくらい)
kinako-mochimochi.hatenablog.com
さて、このエントリでは今年自身に起こった変化や、色々秘めていたことなどなどを書いていこうかなと思います(´・ω・`)
今年「自分、変わったな」と思うこと
1.性格が明るくなった
元々笑い上戸な面もあるのでよく笑う方だったのですが、1年前はあんなこと(過去エントリ参照)があったので、明るくなるにもなれなかった自分ですが、様々な方に支えていただいたおかげで、色々調子もよくなり、性格が元どおり明るくなりました笑
Twitter上でもなるべくネガティブなことは呟かないようにしています。たまに愚痴りますが笑
でも、呟いたところで現状は何も変わらないですからね。
これからも明るいこと、冗談多めに呟いていきたいです( ・`ω・´)
また、今年は東京や神戸、福岡などにお邪魔する機会があったのですが、どこに行っても「ブログの記事見ました!」とか「今夜お時間あったらぜひ!」といったお言葉を頂きました。
本当に嬉しい限りです🙇♂️
個人的に1番楽しいのはこういった方々と食事をつまみながら談笑することなので、お気軽にお誘い頂けたらと思います!
また、こちらからお誘いする場合もあると思うので、その場合はよろしくお願いします🙇♂️
続きを読む
幻の就活エントリ(`・∀・´)
こんにちは〜きなこです(´・ω・`)
もうすっかり冬ですね。
私は今内定先へのインターン中で、現在東京に滞在しているのですが・・・
東京サイコ〜〜〜〜〜〜〜〜〜〜〜!!!
おのぼりさんとバカにされてもいいです、僕はずっとここに住んでいたい(´;ω;`)
来春から内定先で開発に行くか、セキュリティに行くかはまだ迷っている最中なのですが、今はとりあえずセキュリティをゴリゴリやっています('xωx')
また、冬ということは就職活動の時期が近づいてるということでもあり、Twitterではその手の話をちらほら見かけるようになりました。
というわけで、今回は「留年・留学失敗・文系」という立場から就活をして、経験したことを残し、誰かのお役に立てば、と思って久々にブログを書きます(; ・`ω・´)
続きを読む
SECCON CTF予選参戦記+writeup
10/19(土)~10/20(日)に開催された、SECCON CTF 2019にチームContrailとして参戦しました。
初のSECCON CTF予選でしたが、非常に楽しかったです(`・∀・´)
なお、当記事は「writeupだけ読みたい」という方のために、writeup→参戦記という形を取っています。
[Web] web_search
Description:
Get a hidden message! Let's find a hidden message using the search system on the site.
指定されたURLに飛ぶと、RFCを検索できるアプリが稼働してます。
サーバサイドのソースコードはヒントとして与えられていなかったため、
あれこれ思案した結果SQL injectionだとアタリをつけました。
InterKosenCTF writeup【uploader,Temple of Time, Image Extractor】
uploader
uploaderの名の通り、ファイルをアップロードできるサイトにアクセスできます。
ソースの脆弱な部分は以下の"WHERE instr(~~~"の一文。
$files = []; // search if (isset($_GET['search'])) { $rows = $db->query("SELECT name FROM files WHERE instr(name, '{$_GET['search']}') ORDER BY id DESC"); foreach ($rows as $row) { $files []= $row[0]; } }
GETメソッドで受け取った値がSQLのクエリにそのまま展開されるので、
$_GET['search'] = "') UNION SELECT passcode FROM files -- -"
としてやればUNION-based SQLiが成功し、アップロードされているファイルに設定されているパスコードが全て表示されるので、flagが書いてあるであろうsecret_fileをDLしflagゲット
KosenCTF{y0u_sh0u1d_us3_th3_p1ac3h01d3r}
UNION-based SQLiは私の好きなSQLiの1つなので通せてよかったです。