exploit

Exploit. エクスプロイト

はじめまして！ はじめまして。kotatucatというものです！ このブログでは、学生様に必見の情報をお伝えします！ ぜひここに来てくれたなら、記事を見ていってください！ 皆さん…とは言いませんが、学生様方に役に立つ情報がたっぷり乗っているはずです！ ブログの運営初めてで緊張してます…

はじめに 策謀本を読み始めてはや2年、長期休みのたびに挑戦しては少しずつ読み進めていましたが、今日でやっと第6章まで読み切ることができました。自分の知識不足であったり本に書かれてる環境と現在の環境が変わっている所があったりして、かなり苦労したり一部再現できないまま断念したりしていますが、一応この本についてはすべきことは終わったという気でいます。本当は次に暗号について書かれている章があるのですが、これについては別の本を読むのでも良いかなと思っているので、僕的には策謀本は終わりです。 終わった記念に一番最後に実行できたp.436(0x6b2)のret2libcについて自分が理解したことや詰まったポ…

ActiveDirectoryの脆弱性「Zerologon (CVE-2020-1472)」にExploitしてみます。 「Zerologon (CVE-2020-1472)」について 参考ページ 検証環境 Exploitの準備 Python3バージョン確認 impacketのインストール Exploitのダウンロード Exploitの実行 Exploit実行 NTLMハッシュのダンプ Exploit前の状態へ復元 「Zerologon (CVE-2020-1472)」について 参考ページ Tom Tervoortによるブログ記事https://www.secura.com/blog/zero…

2025年1月15日に、QYResearch株式会社（所在地：東京都中央区）は「巻尺―グローバル市場シェアとランキング、全体の売上と需要予測、2025～2031」の最新調査資料を発行しました。本レポートでは、世界の巻尺市場規模、市場動向、成長予測を詳細に分析し、今後の市場の変化と発展方向を見通します。巻尺市場を製品別、用途別、地域別に分類し、各セグメントにおける売上、市場シェア、成長トレンドを明確にします。主要企業の紹介、売上、最新の開発状況、および競合環境に関する詳細な分析を提供します。また、市場成長を促進する主な要因と業界が直面する課題を分析し、将来の市場機会を予測しています。 市場規模2…

この大会は2025/1/11 9:00(JST)～2025/1/13 9:00(JST)に開催されました。 今回もチームで参戦。結果は1769点で897チーム中70位でした。 自分で解けた問題をWriteupとして書いておきます。 Sanity Check (Misc) Discordに入り、#announcementsチャネルのメッセージを見ると、フラグが書いてあった。 uoftctf{welcome_to_uoftctf_2025!!!!!} Surgery (Misc) 顔の輪郭を整える整形手術の専門の医師が勤務している建物の写真があるので、その医師の名前を答える問題。 画像検索に加え、…

■仮想通貨 / 暗号資産関係のマルウェア・サイバー攻撃 malware-log.hatenablog.com■仮想通貨 / 暗号資産の動向 security-log.hatenablog.com【目次】 概要 【仮想通貨 / 暗号資産】 【インシデントまとめ】 【仮想通貨取引所】 【インシデント一覧】 記事 【ニュース】 【ブログ】 関連情報 【関連まとめ記事】 概要 【仮想通貨 / 暗号資産】 ◆仮想通貨の不正アクセス被害 (まとめ) https://incidents.hatenablog.com/entry/Damage_from_Unauthorized_Access_to_Virtu…

https://app.hackthebox.com/tracks/Operation-Tinsel-Trace-II:-Santa-vs.-Krampus 毎年、クリスマスシーズンにHTBがやっているSherlockの2024年版。 Retiredになったので解説を書いておく。 最後の問題のV8リバエン部分が解けなかったので、それ以外の解けた部分の解説を残しておく。公式に書かれているV8 bytecodeのリバエン方法は試した気がするが… 残念。 OpTinselTrace24-1: Sneaky Cookies Sherlock Scenario Task 1 Task 2 Task 3 …

イベルメクチンとSV40について イベルメクチンは、寄生虫を駆除する薬として広く使われていますが、ウイルスに対しても効果があることが分かっています。その効果は、サル由来のウイルス「SV40（シミアンウイルス40）」を含む複数のウイルスで確認されています。イベルメクチンの働きは、ウイルスが細胞の「核」に侵入するために必要な経路を遮断することにあります。 --- どのように働くのか？ ウイルスの核への侵入を阻止 イベルメクチンは、ウイルスが細胞内で核に入る際に使う「インポーチンα/β1経路」と呼ばれる仕組みを妨害します。この働きにより、ウイルスが細胞内で増殖するのを防ぎます。この仕組みは、SV40…

前回 は、「ゼロからマスター！Colab×Pythonでバイナリファイル解析実践ガイド (エンジニア入門シリーズ)」という書籍を、ざっくり読みました。 今回は、引き続き、「詳解セキュリティコンテスト: CTFで学ぶ脆弱性攻略の技術 Compass Booksシリーズ」を読んでいきたいと思います。今回は、スタックベースエクスプロイトです。 それでは、やっていきます。

マシン情報 Recon PortScan TCPでは、Telnetの23が開いているため、初期アクセスに使うものと思われます。 JetDirectは、HPのプリントサーバーのようです。 https://support.hp.com/my-en/document/c00832492 アクセスするためのパスワード情報が分からないので、UDPスキャンもしてみます。 SNMP(UDP161)が開いてます JetDirect SNMPで検索したところ、脆弱性情報を発見しました HP JetDirect Printer - SNMP JetAdmin Device Password Disclosure …

D-CSF-SC-01試験 Dell NIST ネットワーク安全フレーム 2.0 の検討は、最新の NIST ネットワーク安全フレーム (CSF) 2.0 の展示の実施と利用ですこの攻撃性のある承認に参加している場合は、killtest が提供する最新の Dell Security認証資格 D-CSF-SC-01 Dell NIST ネットワーク セキュリティ フレーム 2.0 を使用する必要があります。これらのトラフィック設計の学術マテリアルは、必要な知識分野をすべて網羅しており、完全な能力を考慮に入れています。 ネットワーク セキュリティ フレーム 2.0 は、ビジネスの成功を高めるだけで…

※こちらの記事は2019年11月28日公開ネットエージェント版「ラック・セキュリティごった煮ブログ」と同じ内容です※シミュレーターで。 ペンテスターの皆さん、工場をハッキングする準備は万端ですか？ 実際に工場を買収して好きに💥爆発💥させたいところですが、残念ながら我が社には工場を買うお金がありません。 でも大丈夫！貧乏人のためにGRFICSという素晴らしいシミュレーターがあるのです。 僕の給料では工場を買えないので、いつか（合法的に）工場を攻撃する日を夢見てこれで練習します。 注意：本投稿で記述した手法を用いてトラブルなどが発生した場合、当社は一切の責任を負いかねます。本情報の悪用はしないでく…

【目次】 概要 【辞書】 【概要】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 【ソースコード】 【図表】 関連情報 概要 【辞書】 ◆Mirai (マルウェア) (Wikipedia) https://ja.wikipedia.org/wiki/Mirai_(%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2) ◆Mirai (マルウェア) (Weblio) https://www.weblio.jp/content/Mirai+%28%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%29 ◆M…

1. 足元を見るとは？ 「足元を見る」という表現は、相手の弱みや状況の悪さを利用して自分の利益を得る行動を指します。特に、仕事や交渉の場面でよく使われる慣用句です。江戸時代、旅人が足元の具合（疲労や怪我）で馬子に値段を釣り上げられることが語源と言われています。 1-1. 足元を見る 意味 「足元を見る」とは、相手の状況や立場を利用して、自分に有利になるような条件を引き出すことを意味します。交渉や取引でしばしば使われ、ビジネスの文脈で重要なキーワードとなります。 1-2. 足元を見る 慣用句としての使い方 慣用句としての「足元を見る」は、人間関係の駆け引きや、相手の心理を読む場面で使われます。例…

Metasploit とは ペンテストや脆弱性の分析において広く一般的に使われているツール。 非常に強力なツールであるため、実務からCTF など、多岐に利用されている。 ちなみに、Metasploit PRO も用意されており、自動化や GUI ( Graphical Userinterface ) などが利用可能。おそらくセキュリティを生業とした法人などが契約するようなものかと思う。 一般的に CTF や ペネトレーションテストであれば Metafploit Framework ( 無料版 ) で問題はない。GUI は無いが、Command Line で簡単に利用可能。 Metasploit…