Iot機器の検査とファームウェアのハッキング概要(1)

弊社で開催しているセキュリティハッカソンでは毎年、webアプリなどに対して脆弱性検査を行い発見した個数と影響度を競う大会を開催しています。 今年はIot機器への脆弱性検査も予定していましてIot機器へのアタックするためいろいろ私なりに調べています。 …

セキュリティ・ミニキャンプ in 東北に行ってきた話

先日開催されたセキュリティミニキャンプ in 東北に行ってきました!自分は去年に続き2回目の参加でした。 事前課題 今回のミニキャンプの事前課題として、pcapファイルが渡されました(3問)。これがなかなか難しくて、普段からやっているCTFでは、パケットの…

CODE BLUE 2015 0日目

皆さんこんにちは! 今回はCODE BLUE 2015 というカンファレンスに学生ボランティアとして参加させていただくことになりましたので、その様子を書かせていただきます。その前にCODE BLUE とは何か、についてなのですが、サイトには、 CODE BLUEとは、世界ト…

iPhoneユーザーの半分はiosアップデートをせずにいる?

iPhoneユーザの半分はiosをアップデートしていないということがセキュリティ企業のDuo Securityが発表しました。

IoTとCTFの関係

こんにちは。今回はCTF競技というものとIoTの関係性についてまとめてみました。

Androidゲームをチートしてみた(SECCON 2015 × CEDEC CHALLENGEにて)

こんにちは、佐藤です。SECCON 2015 × CEDEC CHALLENGEは8月10日まで募集されていたゲームのクラッキングとチートのチャレンジです。対象アプリは今回はAndroidアプリでした。私がしたチートを書きたいと思います。 [注意]今から書くことを一般のアプリに対…

Format String AttackでGOTを上書きしてみた

こんにちは。今回はFormat String AttackでGOTを上書きすることによって、プログラムの通常動作では行われないsystem関数を呼び出してみたいと思います。今回の環境 Ubuntu 14.04 TLS 32bit コンパイル方法 gcc -z execstack foramt_vuln.c -o format_vuln今…

Mac OS X Yosemiteにおけるroot権限昇格の脆弱性について

こんにちは。本日は先日ネットで話題になっていたMac OS X Yosemiteにおける深刻な脆弱性について解説をしたいと思います。 みなさんMacを使われている方が多いと思いますので参考にしていただけたらと思います。 概要 これはドイツのセキュリティ企業"Sekti…

ksnctf - 8 Basic is secure?

今回はksnctfの問題をとこうと思います。 まずq8.pcapというファイルが渡されます。このファイルを開くには、何らかのパケットを解析するツールが必要になります。私は今回はwiresharkという解析ツールを使いました。 ファイルを開いてみると、 Authorizatio…

あなたのソースコードは安全ですか。

今回はセキュアプログラミングについての話しです 突然ですが”あなたのソースコードは安全ですか?” という質問に”はい"答えられますか。

ちょっとした無線LANセキュリティ!?

こんにちは。最近は、Write upをかけるようなCTFに取り組めていないので、気付いたことについて書いてきたと思います。 私の実家では某社製一般向け家庭用の無線LANルーターを使っています。先日ファームウェアの更新を買って以来(一年近く)怠っていたので…

iOSの脆弱性

最近は暑くなり、気温30度を超えたとか聞きます。それにセキュリティ・キャンプ全国大会2015の応募も始まっていますね。 今年に入ってから自分は様々なiPhoneアプリを書いてきたのですが、iOSのWi-Fi自動接続を突いた脆弱性やAFNetworkingの脆弱性とか話題に…

WeChall --- "htmlspecialchars"

今回は、wechallのhtmlspecialcharsも問題について解説していきたいと思います。

バイナリの勉強

こんにちは、最近バイナリの勉強を始めました。 今回「Teaser CONFidence CTF 2015」に参加したのでそのwrite upを書こうと思っていました。 しかし、reverse問題の”So-easy-100”があったのですが、それを解くことができませんでした。

wechall:Time to Reset

佐藤です。今回はwechallの問題をやりましたがなかなか面倒で最後まで答えが出せてません。しかし、脆弱性は理解したので書きます。

今までのCTF人生を振り返って

今日は、今までのCTF人生(それほど長くない)を振り返ってみたいと思います。

CTF駆動には限界があると言う話

こんにちは。今週担当の坂口です。 今回は技術云々というよりは、最近になってやっと気づいてきた事などを書きたいと思います。

IoT端末の脆弱性

こんにちは。 この春休み、自分はSSS(Shacho Sandbag System)のIoT化やミラーボールのIoT化をやってきましたが、ふと脆弱性はないのか不安になりIoT端末の脆弱性について調べてみました。

2014 ADCTF 2日目 alert man

サイトに飛んでみると入力ホームが現れる。 問題はアラート(XSS)を出すという問題。 そこに入力すると自分が入力したものと同じものがbodyのid=1に追加されていく仕様になっている。 いつも通り最初にこれを試す <script> alert(1) </script> これを入力すると空白がかえっ…

脆弱性「FREAK」とは

つい先日、SSL/TLSの実装の部分の脆弱性として、「FREAK」というものがでました。 この「FREAK」というのは「Factoring RSA Export Keys」の略で、通信する際のRSA暗号の強度を強いものから弱いものに変更することで、簡単にRSAの暗号を解読し、通信を傍受す…

python 気をつけるべき関数と仕様

pythonでコーディングする際、気をつけなければならない関数があります。すべては紹介できませんが一部見ていきましょう。

listen (Write Up)

今日はADCTF2014のlistenという問題について書いていきたいと思います。

フォレンジックツール「dart」を簡単に使ってみた。

こんにちは。 今回はフォレンジックツール「dart」を軽く触ってみましたので、それについて書きたいと思います!

情報セキュリティ10大脅威 2015

こんにちは。今回は少し問題から離れて、身近に起こっているセキュリティの脅威について少しお話したいと思います。

WeChall --- "Training: MySQL I"

今回は、wechallにのっている基本的なSQLinjectionの問題を解こうと思います。

WeChall --- "Training: Programming 1 "

今回は、wechallの問題を解こうと思います。 今回は、programmingの問題でTraining: Programming 1 というものをときます。

第11回東北情報セキュリティ勉強会に参加してきました

こんにちは、今回更新が遅れてしまい申し訳ございません。 今回は 第11回東北情報セキュリティ勉強会 - 東北情報セキュリティ勉強会に参加してきました。その内容を問題ない程度に書いていこうと思います。Togetterもありますのでぜひ 第11回東北情報セキュ…

SECCON Online 英語 WriteUp (一部)

こんにちは、関根です。 今回は日がたってしまいましたが、12/6、7で行われたSECCON Online についてのWriteUpを書いていきます。

HellBound Hackers --- Realistic 10 ---(web)

あけましておめでとうございます。佐藤です。HellBound Hackerの問題はかなり現実を模した問題が多く気に入っています。今回は実際にありそうなwebサイトを解析し攻撃していく問題です。

Advent Calendar CTF 2014 Write Up [Rotate]

今週担当の杉山です。今回はつい最近まで行われていた、Advent Calendar CTF 2014のRotateというCrypt問題についてのwrite upを書いていきたいと思います。

SECCON Online 英語 WriteUp (一部)

今週担当の坂口です。 今回は12/6,7で行われたSECCON Online 英語のWrite Upを自分が解けた分だけ書きます。

CODE BLUE 2日目

今日はCode Blueの最終日で、昨日と同じ様に業務を行いました。その後に、参加者の人たちとネットワーキングパーティで話をしました。スタッフとして参加してみて、技術だけではなく、人間関係もとても大切だと学びました。これからも積極的にイベントに参加…

CODE BLUE 1日目

今日は、CODE BLUEの2日目で朝七時集合に準備をしました。当日の仕事はたくさんあったためシフトで回して仕事をしました。自分の休憩の時間に講演をみることが出来でましたがとても難しい話だったのですがこれから、理解できるようになれるように頑張ります!

CODE BLUE 0日目

今回、会津大学6名と日本大学の1名の合計7名でCODE BLUEの学生ボランティアとして参加しています。 明日18日、19日に開催される、世界トップクラスの専門家による日本発の情報セキュリティ国際会議「CODE BLUE」のための準備をしました。

DeNAの方々のセキュリティ講演会

12月12日(金)日に、会津大学でDeNAさんにセキュリティ講習会を行って頂きました。 今回は、最初の30分で自分たちがDefcon行ってみての感想とその後の活動について話をしました。 DeNAさんからは、茂岩さんと船久保さんにお話をいただきました。 茂岩さんか…

QRコード

こんにちは。一年の齋藤です。 先週、12/6〜7にかけてSECCON CTF 2014オンライン予選(英語)に参加しました。 今回のCTFはQRコードが多かった印象を受けたのと、自分が初めて解いた問題がQRコードだったため、QRコードのwrite upを書きたいと思います。

ksnCTF Crawling Chaos

こんにちは、山田です。 今回はksnctfというサイトにあるCrawling Chaosというweb系の問題を解いていきたいと思います。

WeChall --- "Limited Access" && "Limited Access Too"

こんにちは、遠藤です。 今回は、WeChall という練習サイトを使ってHTTPの問題に触れていきたいと思います。

Androidのアプリを逆コンパイル

こんにちは、五十嵐です。今回は簡単なアプリのアセンブルをしてみようと思います。

AVTOKYO 2014に参加してきました!

こんにちは佐藤です。 11/15日、私たちはAVTOKYO 2014に参加してきました。 AVTOKYO JP

We Chall --- "Training: ASCII"

こんにちは、関根です。 今回はexploitを書く大切さを知ってもらいたいと思います。 なぜなら、CTFなどの大会では問題の答えがわかるだけで点数がもらえるので良いのですが、それでは次回にまた似たような問題を解くときに、一から始めたいといけません。そ…

セキュリティ懇親会

こんにちは 会津大学学部1年生の関根、山田です。 今回会津大学で行われている、サイバー攻撃対策演習・情報セキュリティ講座で講師として来てもらっている株式会社ディアイティの青嶋さんと懇親会をEyes, JAPANの山寺に開いていただき参加してきました。セ…

HellBound Hackers --- Application Cracking --- (binary)

こんにちは、佐藤傑之と申します。バイナリ初心者であり、いろいろご指摘をいただきたく思い今回はバイナリの問題を2つやります。

CSAW 2014::Forensics 200::Why not sftp?

こんにちは。杉山です。 今週も先週に引き続き、Write Upの記事を書いていきたいと思います。 よろしくお願いします!

CSAW 2013::Recon 100::historypeats

お久しぶりです。坂口です。 今週より、週替りで土曜日にWrite Upの記事を書いていきたいと思います。 よろしくお願いします! さて、その一番最初という重要なところが僕なのですが、初めてのWrite Upということもありまして、過去に解いた問題の中で人生で…

セキュリティ・ミニキャンプ in 東北 2日目

こんにちは。会津大学学部二年生の杉山です。 今回は関根くんに引き続き、セキュリティ・ミニキャンプ in 東北 2日目 について書きたいと思います。

セキュリティ・ミニキャンプ in 東北 1日目

こんにちは、会津大学1年の関根です。 今回、セキュリティ・キャンプが会津大学で行われています。私達の大学でセキュリティ・キャンプが行われると思うとすごく嬉しい。しかし、何故か会津大生の参加者は少ないみたいですね(笑) 初日は主に4人の講師の…

SANS NETWARS Tournament 2014

会津大学1年の関根です。 今回、8/30日、31日に東京で開催された学生向けのセキュリティトレーニングイベントSANS NETWARS Tournament 2014に参加してきました。

DEFCON体験記(3日目)

会津大学CTF部、一年生一同。 本日はDEFCON3日目の様子についてお伝えします。

DEFCON体験記(2日目)

会津大学CTF部、坂口です。 現在学部2年で、昨年よりCTFに参加をしており、全然力はないですが少しずつ上位を目指せていけたらと思っています。 本日はDEFCON 2日目に参加をしてきましたので、その模様をお伝えします。