Zuck3r’s Study

エンジニアではありません

GraphQLでできたやられサイトで遊んでみる

はじめに 今回は、DVGAというやられアプリを使用して、GraphQL特有の攻撃をいくつか行ってみたいと思います。 準備 先ずは、Dockerのイメージを引っ張ってくる。 docker pull dolevf/dvga そして、イメージからコンテナを作成 docker run -t -p 5013:5013 -e…

#Security #GraphQL #cybersecurity #API

Load key "/Users/hoge/.ssh/id_rsa": invalid formatの解決

概要 この解決策はコピペの際にフォーマットが崩れていた場合に限ります。 CTFなどで、奪取したid_rsaを用いてssh接続しようとすると、接続出来なかった。 現象 以下のようなコマンドを打つもssh接続できずエラーが発生する。 $ssh -i id_rsa $IP Load key "…

Hack The Box : Emdee five for life

はじめに Hack The Boxってめっちゃ難しいイメージがあって、ほぼ登録だけして終わってた僕がEasy問題なら誰でも解けることに気付いて解いてみただけの話です。 本題 取り敢えず、インスタンスを起動して指定されたアドレスにアクセスしてみる。すると、以下…

スタンフォード大学のYoutubeで公開されている講義が面白いよという話

初めに 今回は、スタンフォード大学のCSの講義(CS 253 Web Security)を紹介します。、名前についている通りWeb Secな内容です。 個人的には、どの講義も面白かったです。こちらがURL CS253 - Web Security 本題 因みに、全て紹介しようと思いましたが結構…

ZeroShellの脆弱性を再現して試してみた(CVE-2019-12725, CVE-2020-29390)

初めに 今回、何を書くかというとタイトルの通りZeroShellの脆弱性を再現したいと思っています。 思い立った理由としては、現在卒業研究の内容で扱っているからです。 本題 では、内容に入って来たいのですがどういう脆弱性検証するの?ってなりますよね。 …

ウマ娘サポートカード(SR)について(スピード・パワー編)

初めに 何を書くかというと、ウマ娘のサポカでSRで強いのどれかな?みたいな話です。 というか、正確には自分の為のメモです!当てにしないで下さい 本題 それぞれの、特性ごとに分けて書いてみようかなと思います。友人枠(桐生院葵)は省きますね~ 因みに…

#ウマ娘 プリティーダービー

1~3月のまとめ

お久しぶりです 読んでいる人がいるかは分かりませんが、お久しぶりです。 就活や、卒研の内容をどうする、といった具合の悩み事、某社でのインターン期間という事もありアウトプットが途絶えておりました。 なので、ちょっとした進捗をまとめて書き記してお…

CVE-2020-25213の検証

Security Hack

はじめに なんか、脆弱性が通る環境を再現して攻撃してみたいなと思い至り、今回は2020年話題になったWordPress用プラグイン「File Manager」の脆弱性を確認してみる事にしました。 本題 1.先ずは環境の構築 ワードプレスの構築自体はこちらの私が書いた記…

AWS EC2にssh接続しよう(AWS Educate)

はじめに 学校で使う機会が増え、こういったサービスを使い慣れていない学生が困っているのを見かけたので少しでも役に立てればなという事で書いています。 本題 1.AWSマネジメントコンソールを開く 注意すべきなのは、AWS Educateは普通のAWSのサイトから…

picoCTF 2019 : JaWT Scratchpad を考えてみる

はじめに 久しぶりの記事になっています… 少し基礎知識を増やしたいなという事で半年は本を読んだり、インプット多めの期間となっていました。また、学校のオンライン講義移行等で生活の変わりように慣れるのに少し手間取ったりしていました。 それでは、問…

picoCTF2019 : c0rrupt(Forensics)から得た知見まとめ

はじめに 今回は、c0rruptについて解こうと思って色々調べて得た知見についてまとめたいと思います。 本題 問題はこんな感じ。 問題 Recoverとあるので修復せよという事らしい。取り敢えずxxdで16進数にダンプした結果のアタマとケツを確認してみた。 アタマ…

「プロになるためのweb技術入門」を読みました(後編)

初めに これは少し前に書いた記事の後編です。 「プロになるためのweb技術入門」を読みました(前編) - Zuck3r’s Study 「プロになるためのWeb技術入門」 ――なぜ、あなたはWebシステムを開発できないのか作者: 小森裕介出版社/メーカー: 技術評論社発売日: 20…

「プロになるためのweb技術入門」を読みました(前編)

初めに こんにちは。Zuck3r(ザッカー)です。 現在、私はB2なのですが友人とあるwebアプリケーションを作るイベントに参加してお り、この際にしっかりweb技術についての知見を深めておこうと思い読むことにしました。また、とあるセキュリティ企業の1Dayイン…

IPFSを触ってみた

IPFSって何だろう IPFSとは、InterPlanetary File SystemでProtocol Labsにより開発が進めれられているP2Pネットワーク上で動作するハイパーメディアプロトコルとその実装の事です。簡単に言えば、分散型P2Pファイル共有システムです。 私達が、日頃使ってい…

自宅のUbuntu DesktopにNextcloudを入れてローカル内で公開してみた

動作に必要な環境構築 最近、家にあったラップトップ一台をUbuntuにマルチブートしたので、サーバの勉強も兼ねやってみることにした。 それでは本題に入る。まずは、動作に必要な環境を揃える。次のコマンドを実行する。 $ sudo apt install apache2 mysql-s…

CTFlearn : DON'T BUMP YOUR HEAD(ER)

今回はCTFlearnというサイトの問題を解いていこうと思う。問題はこちらから。 ctflearn.com 解説 http://165.227.106.113/header.php 上記のサイトからフラッグを見つけるようだ。まずは開いてみる。 Useer Agentが正しくないとのこと。ページのソースを見て…

picoCTF : store

久しぶりの記事です。今回はpicoCTFのstoreに挑戦したいと思います。 環境:VMware,DebianベースのLinuxを使っている 解説 問題は以下の様にある。 問題 まず、sourceとstoreをダウンロードしてファイル形式を調べる。storeはelfファイル、sourceは普通にCの…

Google CTF : Beginner Quest : MEDIA-DB

前回と同じ前置きになるが、間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 今回は、"Google CTF : Beginner Quest : MEDIA-DB"を解いていく"Attachment"から問題ファイルをダウンロードする…

Android Hacking with Evil-Droid

Security Hack

はじめに… 自分の管理下にあるネットワークや、デバイスで行ってください。他人のデバイスやネットワークに対して行った場合、法的措置(不正指令電磁的記録に関する罪等)に問われる可能性があります。この記事は攻撃を推奨するものではなく、侵入テストに対…

Google CTF : Beginner Quest : GATEKEEPER

前回と同じ前置きになるが、間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 今回は、"Google CTF : Beginner Quest : GATEKEEPER"を解いていく"Attachment"から問題ファイルをダウンロードす…

Google CTF : Beginner Quest : FIRMWARE

#CTF

前回と同じ前置きになるが、間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 今回は、"Google CTF : Beginner Quest : FIRMWARE"を解いていく"Attachment"から問題ファイルをダウンロードする…

Google CTF : Beginner Quest : JS SAFE

#CTF

前回と同じ前置きになるが、間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 今回は、"Google CTF : Beginner Quest : JS SAFE"を解いていく。"Attachment"から問題ファイルをダウンロードす…

Google CTF : Beginners Quest : ADMIN UI

#CTF

間違っているところや改善点があったらコメントして欲しい。 環境:VMware DebianベースのLinux 解説 今回は"Google CTF : Beginners Quest : ADMIN UI"を解いていく。管理者UIのバグをついてフラッグを見つけろ、みたいな問題。 一先ず、問題のところに接続…

Google CTF : Beginners Quest : FLOPPY2

#CTF

間違っているところや改善点があったらコメントして欲しい。 環境:VMware DebianベースのLinuxを使用 解説 今回は"Google CTF : Beginners Quest : FLOPPY2"を解いていく。www.comの中からファイルを見つけろという問題。 この問題は、過去にやったFLOPPY問…

Google CTF : Beginners Quest : SECURITY BY OBSCURITY

#CTF

間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使用 解説 今回は"Google CTF : Beginners Quest : SECURITY BY OBSCURITY"を解いていく。1回目の記事と同じようにダウンロード形式。ダウンロードの話などは…

Google CTF : Beginners Quest : MOAR

#CTF

間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使用 解説 今回は"Google CTF : Beginner Quest : MOAR"を解いていく。今回の問題はダウンロード方式ではないようだ。"nc"で問題文の"moar.ctfcompetition.com…

Google CTF : Beginners Quest : FLOPPY

#CTF

間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使用 解説 今回は"Google CTF : Beginners Quest : FLOPPY"を解いていく。問題のダウンロード方法は前回と変わらないので、前回のリンクを貼っておく。 zuck3r…

Google CTF : Beginners Quest : OCR IS COOL!

#CTF

前回と同じ前置きになるが、間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 今回は、"Google CTF : Beginner Quest : OCR IS COOL!"を解いていく。前回と同じ手順だ。リンクから飛び、"Attac…

Google CTF : Beginners Quest : LETTER

#CTF

CTFは全くを持っての初心者、ハリネズミ本やYoutubeの海外の方の動画で少し学習しただけの我流なので間違っているところや改善点があったらコメントして欲しい。 環境:VMware,DebianベースのLinuxを使っている 解説 では、本題に入る。今回は”Google CTF : …