この大会は2023/9/16 1:00(JST)～2023/9/18 1:00(JST)に開催されました。 今回もチームで参戦。結果は560点で1098チーム中335位でした。 自分で解けた問題をWriteupとして書いておきます。 r u alive (Start here) (misc) Discordに入り、ルールの12番目を見ると、フラグが書いてあった。 csawctf{and_fr0m_humb1e_b3gining5_we_ri5e} AndroidDropper (misc) Webページ上にbase64文字列がある。CyberChefでbase64デコードした後、0x2aとXO…

今週末の9月23日（土）は、Java読書会BOF主催の「Practical Design Patterns for Java Developers」を読む会（第2回）を開催します。 洋書ですが、電子版（PDF）を機械翻訳したものをベースに日本語で朗読していくので、英語の敷居はほぼ低いです。 （double sin = Mathsin(...)が、二重の罪 = と訳されるなど楽しい翻訳を目にすることもできます） 今回の範囲は、日本語であれば、Java読書会のこれまでの平均60ページの進度で読み進めるとの想定で、次の項目となります。 第2回の予定範囲：p.37 l6から p.97まで 第2章 pp…

この大会は2023/9/9 6:00(JST)～2023/9/11 6:00(JST)に開催されました。 今回もチームで参戦。結果は7400点で987チーム中47位でした。 自分で解けた問題をWriteupとして書いておきます。 Welcome (Misc) ルールにフラグが書いてあった。 PCTF{I_h4v3_r34d_th3_rul35!} Uh Oh! (Misc) rockyou.txtから (NPA) NXX-XXXX の形式になる電話番号を探す。 $ grep -n -E "^\([2-9][0-9]{2}\)\s[2-9][0-9]{2}\-[0-9]{4}$" rockyou…

転炉スラグ検出システム市場：世界の産業現状、競合分析、シェア、規模、動向2023-2029年の予測 2023年9月6日に、QYResearchは「グローバル転炉スラグ検出システムに関する市場レポート, 2023年-2029年の推移と予測、会社別、地域別、製品別、アプリケーション別の情報」の調査資料を発表しました。転炉スラグ検出システムの市場規模、シェア、売上及び今後の動向を説明します。世界市場における主要メーカーの製品範囲、サービス、ソリューションを重点的に分析する。本レポートは、2018年から2029年までの会社別、地域（国）別、製品別及びアプリケーション別の売上げ実績と予測に焦点を当ててい…

情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。 それでは、学習スタートです！ ■SSP(Stack Smashing Protection)スタック領域に「カナリア」もしくは「guard」と呼ばれる値を埋め込むことでBOF攻撃を検知する技術。コンパイラによって生成される中間言語にBOF検出のためのコードを生成する。「カナリア」という呼称は炭鉱などで危険なガスの検知にカナリアが使われていたことからきている。 ■XSS(Cross Site Scripting)WebアプリケーションやWebページを操作するJavaScriptなどの脆弱性を利用し、HTMLに悪質なス…

細胞の中の事柄を、ネットワークやグラフで捉えようという試みがある。 ・遺伝子制御ネットワーク Gene Regulatory Network ・化学反応ネットワーク Chemical Reaction Network そのネットワークおよび時間発展を研究する試みは数多くなされてきたし、データ解析と融合することで、それらのダイナミクスの様相が明らかになりつつある。 次の革命は何かと考える。 現に、物理からのアプローチは進んでいる。連続体力学、電磁気学、量子力学、熱力学などが参入してきている。もちろん、データの説明可能性も保証される。 やはり、生物の物理化が進むのか。 物理で捉えにくい部分は無いの…

情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。 それでは、学習スタートです！ ■BOF(Buffer OverFlow)攻撃CやC++言語で開発されたOSやアプリケーションプログラムの入力データの処理に関するバグを突いてコンピュータのメモリに不正なデータを書き込み、システムへの侵入や管理者権限の取得を試みる攻撃方法。BOF攻撃の種類として、スタック領域、ヒープ領域、静的メモリ領域で行われるものがある。 ■LIFO(Last In First Out)後入れ先出し方式。スタックで使われるデータ格納方式。 ■DEP(Data Execution Prevention…

プログラミング言語Scalaで最もよく使われているビルドツールといえばsbtだ。起動しっぱなしのインタラクティブ仕様なsbtがやや鈍重なきらいがある一方、もう1つのビルドツールであるMillが開発されており、こちらではnpmのようなシェル単位の操作体系を指向している。 mill-build.com 単にコマンド体系のみならず、Millには他にも色々と面白い機能がある。例えばsbtと違って標準でassembly、すなわちUberjarへのパッケージング機能が搭載されているという点がありがたい。このUberjarを作る機能に面白い仕組みが盛り込まれていたので紹介するというエントリ。 謎の実行権限 …

OSCPを取ってきたので例によって受験記を残します。 OSCPについて この記事を読んでいる時点でOSCPについて知らない人はいねぇよなぁ!!?と思いますが念のため。 OSCP(Offensive Security Certified Professional)とは、OffSec社が提供するペネトレーションテストの知識を証明するための資格です。 日本の視点から見ると、高難易度の資格に分類されるような気がしますが、英語圏ではペネトレーションテストの入門的な資格という位置づけのようです。 試験は実際に用意されたホストに対して攻撃を行い、どこまで侵害できるかが得点の鍵になります。 そのため、焦点は初…

今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。 勉強に使ったのはこちら 章の終わりにあるCheck問題に私なりの答えで解答していきます。 今回は3.6章：HTTP及びWebアプリケーションの脆弱性と対策のCheck問題です。 【Q1】セッション管理に関する脆弱性にはどのようなものがあるか。 ①パケットの盗聴によってセッション管理情報が盗まれる可能性がある。②セッションIDが推測・改善され、他者に情報などが漏洩する可能性がある。③詳細なセッション管理情報をWebサーバとクライアント間でやり取りしていることにより、他者に情報が漏洩する可能性がある。④Refererログか…

FLAGSTUFF – フラグスタフより LS TEE , COTTON CAP , BOF COTTON CAP , OBSCENE HZ SWEAT , JW SWEAT の5アイテムが発売開始 ( 公式通販サイト.電話での購入可能 ) ONLINE UP DATE : 2023/08/19 11:00 LS TEE 製品後ピグメント染め。書き下ろしデザインを前後にプリント COTTON CAP オリジナル6パネルBODYのコットンキャップ。ボディと共生地のアジャスターベルトを刺繍で表現書き下ろしグラフィックを刺繍で表現 BOF COTTON CAP オリジナル6パネルBODYのコットンキ…

防衛省サイバーコンテスト 2023(参加者間では「防衛省CTF」等とも呼ばれていました)へ参加しました。そのwrite-up記事です。 本コンテストは3回目の開催で、今回からコンテスト終了後はwrite-up等の公開が許可されています。なお、前回以前の募集ページも同一URLであり、以前の内容は現時点では閲覧不能のようです。参考として前回以前の募集時のInternet Archiveリンクを貼っておきます: 第1回(2021/03/14開催)募集時ページ 第2回(2022/08/21開催)募集時ページ 2023/08/08(火) 22:35頃に、「Analysis」問題、「Ladder」問題の解…