きなこもち。

(´・ω・`)

生存報告とか色々

こんにちは、きなこです(´・ω・`)

 

久々にブログを更新しました、滞ってしまって申し訳ないです(・ω・;)

 

 

前回の記事、予想の10倍ほど反響があってびっくりしました。

その節はどうもありがとうございました(^ω^)

(実はハリネズミ本の著者の方々からもメッセージを頂きました、皆さんには感謝してもしきれません(´;ω;`) )

 

kinako-mochimochi.hatenablog.com

 

 

 

 

また、皆さんのおかげで、セキュリティ系のベンチャー企業様に記事を書かせていただく機会を頂き、貴重な経験もさせていただきました〜

 

↓その記事(リバースエンジニアリング初心者向けの記事です!)↓

www.ninjastars-net.com

(株式会社Ninjastars様のブログに飛びます)

 

 

今後ともよろしくお願いします!!!

 

 

 

 

あとはたわいもない現状報告(´・ω・`)

  • 就活
  • CTF
  • その他

 

 

1.就活

はい、本格的に就職活動がスタートしました(´・ω・`)

 

覚悟はしていたのですが、やはり地方、特に九州から東京まで行くのは、スケジュール的に辛いものがあります(´・ω・`)

 

地理的に東京が遠いので、Wantedlyで開かれてるような、企業の方々と直接お話するようなイベントは、まず諦めないといけません・・・(´;ω;`)

 

なので現状、数社しかエントリーしていません。

 

全部落ちたらブログ書いてる暇なんてないですね。

そのときはTwitter失踪すること間違いなしだと思います(´・ω・`)

 

第一志望、受かればいいなぁ・・・

 

 

2. CTF

前回の記事タイトルにもあるとおり、私はまだまだCTF初心者です。

1ヶ月でCTF力(?)が伸びたかと言うと・・・・

 

 

 

伸びたと思います!( ・`ω・´)

 

 

---Web---

成長したこと

・CTFの師匠からHTTPリクエストを自作するレクチャーを受けたので、クッキーやリファラ、ユーザエージェント 、はてまたリクエストボディの編集が専用ツールなしでできるように。(今記事として書きかけで、後日投稿予定です)

 

PHPの知識が増えた。Webアプリを作ったことがないのでログイン認証周りやクッキーの仕組みがあやふやだったが、大量に読み込むにつれ、慣れてきた

あとPHPに若干愛着が湧いた。(´・ω・`)C言語で書かれてるしね〜

 

・苦手だったAuth問題も、複数のSQLインジェクションを試したり、Wiresharkでパケット解析するなど手順が掴めてきた。

 

・8946というサイトで勉強してました(Web問以外にもForensicとかある)

8946|ハッキングチャレンジサイト

 

課題

Javascript関連の知識。XSS周りが苦手。Node.jsも習得したい。

・ブラインドSQLインジェクションを試すコードなどがまだ見ずに書けないので、コードを解剖してマスターしたい。

・Webのフレームワーク、一つ勉強したい・・・

 

 

---Forensic,Network---

成長したこと

・画像のフォレンジック問題で、実際にRGBAを解析するコードなどを書いたり、重ね合わせやXORをとるコードを書いてまずまず解けるように。

 

・NetworkはScapyを勉強し始めました

(Scapy、手軽にDoS攻撃もどきのコード書けちゃうからヤバい・・・(´・ω・`) )

 

・師匠「Forensicはツールゲー」

 

課題

・Autopsy使ったことないので触りたい

・SECCONだとQRコードを絡めた問題が多いらしいので、QRコードに色々できるコードでも書くか・・・(´・ω・`)

 

 

 

---Binary,Reversing,Pwn---

成長したこと

バッファオーバーフローやフォーマット文字列攻撃の基礎をマスター(できてないかも)

 

・pltやgot、共有ライブラリの読み出し先など、Pwnに必須なのに知らなかった知識を拾い始めた

 

・EIP=0x41414141

 

課題

・まだ全然リバーシング力がついてない

言い訳:Macだと使えるツールが限られてるんだもん(´・ω・`)

→RevとPwn用にWin(とUbuntu入れる)のラップトップをポチって解決(; ・`ω・´)

(Windowsについても色々勉強したい)

 

・必須ツールIDA、Ghidraの経験不足

 

Pwn系はまだまだ先が長いです(´・ω・`)

Villager Bが自力で解けるまで、温かい目で応援してください!

 

 

↓ちなみにこの本はマジでPwn初学者におすすめです!!↓

 

コンピュータハイジャッキング

コンピュータハイジャッキング

 

 ( バッファオーバーフローから各種セキュリティ機構の解説、NOPスレッド、シェルコード、シェルスパウンまで解説してます! 欠点は本が若干脆い(糊付けが甘いのかな???) )

 

 

 ---Crypto---

暗号系はほぼ何もしてません・・・

 

 

よくある脆弱なRSA暗号系の問題を、ネット上にあるコードで解いたのですが。。。

 

 

師匠「cpawCTFの最後のRSAのやつ、解けました?」

僕「はい、ネット上のLow Public-Exponent Attackってコード試したらいけました」

師匠「それは甘えですね。」

僕「(´;ω;`)」

 

 

というわけで、こちらのスライドで脆弱なRSA暗号のパターンを網羅して、自分の力で解読コード書かなきゃですね!!

www.slideshare.net

 

 

 

 

はじめての数論 原著第3版 発見と証明の大航海‐ピタゴラスの定理から楕円曲線まで

はじめての数論 原著第3版 発見と証明の大航海‐ピタゴラスの定理から楕円曲線まで

 

(はじめての数論、また読み直さなきゃ。。。) 

(近いうちにブロック暗号やストリーム暗号の解読コードも書きたい)

 

 

 

 

 

そんな1ヶ月でした。(´・ω・`)

PwnやRevは4月をフルに使って取り組んでいきたい。

 

 

3.その他 

改めて、Twitterでたくさんの反応、本当にありがとうございました。

良い環境に恵まれて、本当に毎日が楽しいです!( ^ ω ^ )

 

 

これからも、なるべく質を重視した投稿ができるよう、頑張ってまいります〜〜!

 

 

 

 

 

 

 

 

 

師匠「Wireshark自作するってのはどうです?」

僕「えっ?(´・ω・`)

 

 

 

 

 

 

 おわり

 

 

 

 Twitter:

twitter.com

 

 

 

 間違いの指摘やより分かりやすい文章の提案、いつでも受け付けておりますので、コメント欄かTwitterにてぜひお伝えください!