2021年のプチ振り返り
書いていきます (「・ω・)「
1~3月
過去の日報とか見るとこの頃はpwnを大真面目に学習していたようです
- null-freeなshellcodeをアセンブリ言語から構築したとか、syscallなしのshellcode構築に5時間くらいかけたのを今でも思い出に残ってます
- あとforkしてるプログラムのstack canaryを1バイトずつリークしていく問題を解いたり、heapの問題の勉強とか
- Kernelあたりから謎of謎になりました...笑
- 解説読んでも分からない=まだ自分が取り組むべきでない、と定義しているのですがまさにそんな感じに
自分のチームである
sh -a ./chiku
を結成しました!!- 社会人になってからセキュリティ始めた人たちで構成されてます
- 最初はCTFオンリーだったのですが、割とペネトレなどにも興味あるメンバーが多かったので今では色々やってます
- meetupで1番盛り上がるのもOffensive Security周りの試験とかの話だったり
- angstromCTFという1500チームくらい参加してた大会で96位取って以来、大規模な活動がなくなっている気がw
あとNahamCon CTF 2021にも出てたみたいです→https://kinako-mochimochi.hatenablog.com/entry/2021/03/15/232757
- SMTP Injectionは面白かった
4~6月
仕事の方で大きい案件が終わり、次はAWSとTerraformを使って1人で基盤の構築を任されることになったので、AWS周りを勉強してました
- 自分が書いたTerraformベースのインフラが今でも動いていると思うとなんか感慨深いですね
- とりあえずAWSのコンソールで迷うことは無くなりましたw
DNSの攻撃について学習していたのですが、偶然このビデオに出会い、バグバウンティの世界に興味を持ちました↓
こういう世界があるのは知っていましたが、自分じゃ無理だろうなーと思って敬遠していました...が、STOKさんも結構遅くから始めた感じ(詳細は不明ですが)だったので自分もすこーしずつ始めてみました
- PentesterLabがおすすめされていたので4~6月は全般的にmoduleを潰していました
- XS-LeakとかpostMessageのXSSなどが学べるのは良いと思います
あとは会社に買ってもらったLabでクラウドセキュリティを勉強してたり
- 今になって思うのですが、かなりシチュエーションが限定的でほぼ現実的じゃなかったな...(-ω-;)
7~9月
- 色々ありましてヨーロッパのバグバウンティのコミュニティに参加しつつひたすらwebを勉強していました
- Open Redirectなどは今までやってきたCTFでは出題されたことがなかったので、こういった脆弱性を新たに学ぶなど新鮮でした
- それにしても、ヨーロッパ圏の人たちの明るさというか、前向きさに触れてすごく国民性というものを考えさせられました
- 例えると、本当に映画の「君と僕はもう家族だろ!?」みたいな、もっと言うとマフィアのファミリーのような結束感があるんですよね
- 頻繁にDMで
Hi mate(bro), how are you
が来るようになって、日本じゃこんなことなかったなーとか思ってちょっと面白かったですw
- 頻繁にDMで
- 例えると、本当に映画の「君と僕はもう家族だろ!?」みたいな、もっと言うとマフィアのファミリーのような結束感があるんですよね
HactivityCon CTF 2021にも出ていました
- https://kinako-mochimochi.hatenablog.com/entry/2021/09/19/160351
- Unpugifyは29番目に解けたり、Availabilityも割と早く解けたので色々成長を実感しましたね🍵
- Spiral CIはdependency confusion attackを題材にした問題で、今年1番印象に残っている問題でもあります
お仕事の方はAWS基盤構築が無事リリースし、元々アサインされていたAPIサーバの保守業務につくことになりました
- これが後にあんなことになるとは(´;ω;`)
10~12月
ヨーロッパのコミュニティで開かれた小さなバグハンティングの大会に出場し、RCEやらXSSやら色々見つけ、3位になりました(´・ω・`)
- 今年1番の成果はこれかなーと
- 僅かながら賞金も頂いたのですが、期待の3倍くらい頂いてちょっとびっくりしました(ボーナスくれたみたいです?)
- 大会自体は非常に楽しかったのですが、Discordで答えをシェアしてsolve稼いでる人たちがいるなーと薄々感じていて複雑な気持ちでした
- cheatingして何になるのか...(´・ω・`)
仕事のAPIサーバの保守が色々な意味で辛くて、現在進行形でげっそりしています
- 携わり始めてから綺麗に体重が減少傾向なんですよね...
この辺りからぼちぼち野良のアプリのバグハンティングに挑戦してみたりもしてますが、まーduplicationばかりですね
- 一応private invitaitonも頂いているのですが、如何せん日中は開発、帰宅後風呂と夕飯済ませて就寝まで残る時間は3時間もなく、その時間だけで見つけるのは結構きびいのでは...と思います
- かといって専業でやっても食えるくらい稼げるかというと、それも自分では不可能だと思います
- 私自身まだまだコンピュータサイエンス周りの知識が足りないので、OSCPなどを取得してから取り組んでも遅くはないかなーと考えて最近はwindows exploitationなんかをぼちぼちやってます(´・ω・`)
こんなん頂いたのが今年のハイライトかな...まあ何一つバグ見つけてないんですけどね😀
まとめ
来年の目標は立てません!
- 2021年の3月くらいまでは目標に従っていたのですが、それ以降は全く偶然が重なって最終的には全く別のことをやってたりと、ランダム性を楽しむ方が自分に合ってる気がします笑
- 強いて言えばOSCPは取りたいです👍
資金的にもある程度余裕ができてきたので、来年は足を伸ばして猫島(田代島)に行きたいです!!🐈
なんだかんだ、こうして見ると面白い1年でした。
来年もよろしくお願いいたします🙇♂️