2020年の振り返り(4月〜12月)
2020年は社会人になるということもあり、個人的には時間がゆっくりと過ぎていきました。
3月までは卒業までのエントリーがあるので、4月から12月までを振り返ってみようと思います!
4〜6月
やったこと
- 社会人として働き始める
- 一人暮らし開始!
当時勉強したこと
- Pwn
- 5月に初めて野良CTFでPwnをsolve、6月はlibc leakからのシェル起動まで達成!
自力でPwn解けた!やったああああ(´・ω・`)
— きなこ (@kinako_software) May 9, 2020
- 他はRails、Vue、あと6月末にペンテストに少し足を突っ込んだくらいでした
ひとこと
- 4〜6月は水道・ガスの契約や新卒研修など新しいことばかりで忙しかったのか、当時のカレンダーを見ても個人の予定はまっさらで職場のカレンダーは研修でびっしり埋まっていました...
- 当時のツイートを遡っていると、SECCON beginners CTFで全く解けずに不貞腐れてるツイートが発掘されましたw
寝る前にプロフからCTFの欄を抹消しておいた
— きなこ (@kinako_software) May 23, 2020
7〜9月
やったこと
- 7月は6月の延長でひたすら新卒研修、そして配属先に本格的にジョインした月でした
- 8月は特にイベントがなかったです。24歳になりました。
- 9月は社内wikiに書いていたJWTの記事がエンジニアブログに公開されました🎉
当時勉強したこと
- ペンテスト
- 7月からTryHackMeをぼちぼち始め、nmapの使い方やmetasploitの基本を頭に擦り込みました
- 恥ずかしながら、nmapを今まで使ったことがなく、ツールとそのオプションの暗記から始めました...
- シェルスクリプト
- 7月は頑張ってたみたいですが、結果的に身についていません...
- Nginx
- Linuxカーネル
- 良さげな本が出たので通読しました。あまり内容は覚えていませんが...
- Golang
ひとこと
- ここから始めたペンテストが11月の大和セキュリティ主催の大会で活きるんですね〜
- 7月あたりから職場の人間関係で深刻に悩み始めた感じで、当時のツイートを見ると相当参ってる感じでした
- 今は吹っ切れてるのでヨシ
- CTFはInterKosenCTFに出ましたが、WebとPwnのwelcomeしか解けなかったです....
- 8月あたりは疲れて、土日は勉強もせずゲーム実況とか見ていました...
10〜12月
やったこと
- 10月から社内のAtCoder勉強会に参加し始め、11月終わりあたりまで結構やってました
- ただ、コンテストには1回も出なかったな...
- Cをコンスタントに解けるようになっても茶色問が中々スムーズに解けず、うーんという感じ
- グラフ探索の勉強中に興味がペンテストに移行した感じですね
- この辺りから年末のイベントを新卒が企画するなど色々雑務が増え、新卒研修もまだちらほら残って苦労しました
- 10月はIPFactoryさん主催のCTFに参加しましたが、Web問が全完どころかmedium系も解けずかなり落ち込みました
- また同じ10月はSECCON CTFがあったものの、1問も解けず...このあたりから結構CTFに苦手意識が出てきました💦
- 11月は仙台CTFに出場し、Web問と制御システムハックのICS問を全完し、7位に入りました!
SendaiCTF 2020のwriteupです〜
— きなこ (@kinako_software) November 21, 2020
Web-1の秘密の本とWeb-2のEasy Injection、ICS07の空調起動させる問題だけですが🙇♂️#sendaictfhttps://t.co/qcbLiPF0i9
- また、wanihackseさん主催のwanictfではPwnをheap問以外全てsolveしたので、Pwnから離れても実力をギリキープできていることを確認できました💦
- 同じ11月の末に大和セキュリティさん主催のペネトレCTM(Capture The Makimono)に出場、競技時間7時間くらいの長丁場でしたが結果的に2位に入賞しました😄
CTMの順位は2位でした〜
— きなこ (@kinako_software) November 28, 2020
プロの皆さんが難問だけ取り組んでる間、自分は下忍カテゴリ問をひたすら解いてました!😂#yamasec
- 競技中、使っているMacbookAirのストレージが満タンになりVMが破損して起動しなくなるハプニングがあり、VMをクリーンインストールしてkaliを入れ直して再開したのが思い出です笑
VirtualBox自体が死んだので急いで復旧中、間に合ってくれ〜〜〜〜〜〜〜〜〜〜
— きなこ (@kinako_software) November 28, 2020
#yamasec
当時勉強したこと
- AWS
- ペンテスト
- 実はTryHackMeで本格的にマシンの攻略を始めた12月に入ってからで、それまではmetasploitやnmap、gobusterの基本を知るだけRoomで暗記するのに留めていました(・ω・;)
- 比較的スムーズにマシンを攻略できるようになったのはPrivEscのRoomを2周したり、SUIDつきのファイルを探すときのfindコマンドの使い方などを見なくても打ち込めるようになった12月中旬ですね
- Dockerやlxdを使ったPrivEscはぶっちゃけ技術自体知らなかったりするのでwriteupをチラ見してます😂
- WebSec
- Web Security Academyを一から全て翻訳し、Labもwriteup書くようにし始め、今のところXXE、SSRF、HTTP Host header attack、Web cache poisoningなどなど13のジャンルを翻訳完了しました
- Labの中にはPro editionでないと解けないものもあるので、ちょっと消化不良気味です
ひとこと
- 10月〜11月半ばまで競プロ、それ以降はペンテストという感じでした。
- 大和セキュリティのペンテストCTM2位は今年1番の功績です!
- 参加者のレベルが高かったこと、そして日頃の積み重ねが結果に出たことが非常に嬉しかったです😀
- SECCON CTFがボロボロだった分、なんとかペンテストCTMで巻き返した感じです
- 12月初旬から個人的なKPI、例えば「今週はTryHackMeのRoomを5つ攻略する、Web Security AcademyはXSSの章とOAuthの章を翻訳する」と定めるようになったので相当成長しました
- 実はHarekaze mini CTFが全く解けず、本気で落ち込んだのは内緒です
まとめ
↓2020年始まってからの抱負のエントリですが...
kinako-mochimochi.hatenablog.com
- コンパイラ自作→途中で飽きて放棄
- NW取得→フォロワーの方に参考書まで頂いたのに受験すらせず(そもそもコロナで開催されるのか?と思っていたのもありますが....)
- JSのフレームワーク1つマスター→Vueは新卒研修のアプリ制作で2ヶ月くらい触りましたが、マスターはできてないです
- Pwn元年→これは6月までは頑張ってそこそこ成長できたかも
このように全く達成できてないですね、目標立てない方がいいんじゃないかとも思えてきました....w
とはいえ、Pwnはなんだかんだlibc leakやROPが結構解けるようになり、年初のpwntoolsすら使えなかった時期が嘘みたいです。 また、ペンテストもnmap未経験からいいところまで行けたので自分のやり方が合っていることを再認識できてよかったです😄
総合的に見て、2020年は新卒としていいスタートを決められた感じです。
来年の目標はまだ決めていないのですが、新卒の自由さがまだ残ってるうちにOSCPを取得したいなと思っています...が、まだWindowsのマシン攻略やDockerのbreakなどを知らないので先は長そうです💦
また、CTFの腕を磨いて結果を出したいですが、ペンテストと両立できるか少し不安です(・ω・;) 自分は「あれも、これも」ではなく「あれか、これか」で生きているので、どれを犠牲にするかまだ剪定中です。
また、バグバウンティも本格的に取り組むのは先送りにしています。
というのも、自分はまだコンピュータサイエンスの基礎がしっかりしていないので、バグハンティングに費やすよりはCSの基礎固めに費やした方が効用が高いと思っています。 (なんだかんだコンピュータやセキュリティを本格的に勉強してやっと3年目に差し掛かろうとしているので、まだ自分には早いと思っています💦)
来年は道を間違えたら一生後悔しそうなので、今のうちに挑戦できる1年にしたいですね!!
というわけで4月からの振り返りは以上です!
皆さん良いお年を!!!
