目的 API設計に関する理解度 もやる デザインパターンに出会う WEBを漁る gRPCについて GraphQLについて 自分なりの解 目的 現段階での、API設計に関する個人的な考察をアウトプット。 gRPCもGraphQLもRESTも基本はリソースを中心にして設計するという設計感…
はじめに 以前、Xbeeの子機で読み取ったセンサー値を親機へ送信していたが、任意のメッセージを送信する方はやっていなかったなと思い、挑戦してみることにした。ArduinoかPICが選択肢としてはあるが、PICでの実装にも慣れてきたのでこちらでやってみる。 今…
はじめに 事前準備 データシート ライブラリ セットアップ 回路図 まとめ はじめに 秋月電子でLCDディスプレイモジュールを購入したので、PICで動かしてみた。 今回用意するのは 16F628A SC1602BBWB-XA-GB-G 小型ボリューム 1KΩB 事前準備 上のLCDディス…
はじめに ダイナミック点灯 タイマーの考え方 TMR0割り込み 実装 回路図 まとめ はじめに Arduinoでダイナミック点灯をやってみたが、これぐらいだったらPICでもできるのでは?と思い挑戦してみた。 Arduinoでの実装はこちら。 github.com 今回用意するのは …
はじめに UART 実装 回路図 まとめ はじめに Arduinoでシリアル通信をするには、RXとTXを相互に接続してSerial.printlnを使うだけで出来てしまうが、PICだとそうもいかないので、PICでのシリアル通信を体験してみる。 今回用意するのは Arduino UNO PIC16F62…
はじめに Arduinoを弄っていて、プロトタイプとしてはいいけど半田付けすることまで考えると、小さくて安くないと駄目だなということに気づき、改めてPICをちゃんとやる必要があるなということで、まずは環境構築をすることにしました。今回はその備忘録にな…
HackTheBoxのTraverxecマシンに挑戦したので、振り返り的な用途で攻撃プロセスを残す
HackTheBoxのPostmanマシンに挑戦したので、振り返り的な用途で攻撃プロセスを残す
HackTheBoxのOpenAdminマシンに挑戦したので、振り返り的な用途で攻撃プロセスを残す
babyheapと言うバイナリのウォークスルーに近いが、one_gadgetを利用した攻撃手法としては、glibc-2.27のダブルフリーのチェック不足を利用したTCache Poisoningによる攻撃が応用編として良さそうなので、これを扱ってみる。
CTF問題の`oneline`のウォークスルーに近いが、今回は`one-gadget`と言う初耳のモノを扱ってみる。用途的には前回作成したシェルコードと似ているが、ガジェットコードと呼ばれる命令を実行するだけでシェルを起動できる優れもの。
アセンブラコードの基礎の基礎は第一回と第二回で簡単にふれたので、今回はCTFで苦戦したシェルコードの作成に挑戦してみる。
第一回ではmain関数の中で引数なしのprintfを利用しただけなので、今回は関数呼び出しと可変長引数のprintfを使用して解析してみようと思う。
Arduinoで赤外線通信を解析して、エアコンに信号を送信する。
XBeeで受信したAPIフレームをArduino側のシリアルモニタから出力してみる。
XBeeのAPIモードを使って部屋の温度を拾ってみた。
GoogleHome向けのActionを作ってみたので、色々とまとめてみる。
JamesCoplienの認定スクラムプロダクトオーナー研修を受けてみた。
環境 Cuckooのインストール マルウェア解析用の仮想マシンをセットアップ VirtualBoxのインストール 仮想NICの作成 仮想マシンにWindows7(64bit)をセットアップ 仮想マシンから外部ネットワークへのルーティング設定 Cuckooのセットアップ MongoDBのインスト…
はじめに ハニーポットとの邂逅 お財布問題 空からのお告げ 安心するのはまだ早い 安定稼働までの道のり t-pot-autoinstallがコケる 1日経たずにディスク容量を使い切る tpotのサービスが不安定 料金体系をちゃんと理解してない恐怖感 安定稼働のその先 Scal…
はじめに Dionaeaとは 稼働サービス 観察に利用するデータ 攻撃通信の生データ 収集したマルウェア インシデントログ 観察に必要なツールと使い方に関して 攻撃の再現方法 インシデントログの確認 観察シナリオ インシデントが溜まる 対象のホストを絞り込む…
初めてのハニーポット構築
環境構築 仮想マシン BadStoreのisoをダウンロード VMware Workstation 12 Playerで仮想マシンを作成 仮想マシン起動 外部の端末からアクセスできるようにする WEBアプリの脆弱性調査 Quick Item Search DB情報収集 テーブル名とカラム名の推測 SQLiによるユ…
下準備 解析 表層解析 ファイル形式の確認 どのような文字列が含まれてるのか確認 動的解析 普通に実行 ltrace strace 静的解析 逆アセンブル 解析してみる 総括 参考になるサイト バイナリの講義で、実行ファイルの静的解析を学習したのだが「こんな感じで…
Shellterダウンロード シェルコードをバインドする 接続を待ち受ける Meterpreter session 1 closed error virustotalで検出具合を確認してみた Shellterダウンロード 以下のサイトからshellter.exeが含まれたzipをダウンロードする。 https://www.shellterp…
SQLインジェクションの勉強をしていたら、初めて聞く手法があったので備忘録とする。 SQLインジェクションと一口に言っても、よく聞く通常の「SQLインジェクション」と「ブラインドSQLインジェクション」という2つのインジェクションがあるらしい。特にブラ…
CTFはすでに終わってしまったが、1ヵ月間だけサーバーを起動状態にしてくれているみたいなので、できなかった問題をやってみた。 Web系の問題では、どのような脆弱性かは知識として知っていたが、実践できるレベルまで身についてなかったことを実感。 Rivers…
SECCONの初心者向け大会が、5月26日13時〜翌日13時までの24時間開催されたので、参加してきた。 オンラインでの大会は非常にありがたかったが、家族サービスをしながらの参戦だったので時間的には3-4時間しか参戦できなかった。 とりあえず、勉強したネット…
セキュリティに関する勉強として、ネットワークフォレンジックのCTF問題を少し齧ったので、備忘録として纒める。 CTFとは? CTFをやると何が嬉しいのか? 覚えるだけで終わっていた技術に関する知識を実践で使うため、生きた知識が身につきそう 知らない技術…
sslstripという面白いツールを見つけたので、使い方の備忘録です。 どのように実現しているのかが気になる方は下のサイトを参照してください。 http://www.computerworld.jp/topics/563/136389 とりあえず使用するツールは2つ。 sslstrip ⇒ サーバーからの…