Capture The Frog

かえるぴょこぴょこw

MENU

2021-01-01から1年間の記事一覧

GhidraでMalware TechのCTF Shell code編

前回と同じくghidraでMalwareTechのCTFを解いていく。 www.malwaretech.com 今回は、[Shellcode]に挑戦していく。 前回の[Hide and Seek]を解いてみた記事はこちら ↓ Shellcode1 このプログラムのmain関数の役割はentry関数が果たしているので、entry関数に…

GhidraでMalware TechのCTF(Hade and Seek)

一通りアセンブラがそれぞれ何をしているか分かってきたので、練習がてらCTFを解いてみた。 Ghidraは、リバースエンジニアリングツールで.exe等の実行ファイルを逆アセンブル・逆コンパイルツールである。 まだ、インストールしていない人は↓から ghidra-sre…

Qt Creatorのバグの回避(Ubuntu 20.04)

Qt Creatorは、GUIアプリケーションをつくるソフトウェア。 だが、Ubuntu20.04でQt Creatorを実行すると、 Kits Selectionというプロジェクトを作成する際の設定から進めないバグが発生するため「Ubuntu Software」でも低評価とこれに関するレビュー祭り。 …

32ビットのマルウェアが64ビットOSで実行できる理由

多くの場合、マルウェアは32ビットで書かれていることが多い。 32ビットのみのwindowsはwindows7であり、その後のwindows製品は64ビットと32ビット両方開発されている。 ちなみにwindows11は32ビットCPUをサポートしないようである。 ここで一つの疑問が生ま…

Skype Encription v 2.1.exe(79cdf420419a08f791752c759f8e0613)についての解析

この.exeを持ってきたところ syrianmalware.com マルウェアなのでダウンロードするときは、十分注意をすること 一切責任は負いません 静的解析 ファイルのハッシュ値 md5sum 79cdf420419a08f791752c759f8e0613 sha256sum b3a78d0b7dbe6f79a512cb9ab1701a1d5e…

hack_facebook_pro_v6.9.exe(229af3e4f9dccc0497e7546c09790d50)の解析

o今回は、hack_facebook_pro_v6.9.exeについてのレポートを書いていきます。 syrianmalware.com syrianmalwareというマルウェアデータベースを利用しました。マルウェアなのでダウンロードする際には、万全の注意を払ってください。一切の責任は取れません。…

DC-4 Write up

DC-4のフラグ取得までの流れ ・netdiscover/nmapでDC-4の基本情報取得 ・nikto/dirsearchでのwebサーバー・公開ディレクトリの情報取得 ・Burpsuiteを使ってパスワードの取得 ・ログイン ・Burpsuiteを使用したコマンドインジェクション ・sshにログイン ・…

Burpsuiteの使い方

今回は、Burpsuiteの使い方について書いて行きたいと思います。 自分が所有していない機器には、絶対に使用してはいけません。 各種情報セキュリティ関連法令に引っかかります。 また、責任を負いかねます。 Burpsuiteとは まず、Burpsuiteとは何か説明して…

DC-3 Write up

攻撃者は、kaliを使ってます。 今回の攻撃の流れ ・攻撃される側のIPやウェブディレクトリを調べる ・脆弱性をついた攻撃(SQLインジェクション)で、ユーザー名とパスワードを取得 ・CMSへのログイン ・リバースシェルをつくる ・リバースシェル経由でWEBサ…

meterpreterの使えるコマンド一覧

meterpreterの使えるコマンドということで、まとめていく 随時更新していく予定。 ・sysinfo システム情報取得 ・ipconfig 使い方は、dosコマンドと一緒 ・ps プロセス一覧取得 ・getuid ユーザーの確認 ・getsystem 権限昇格を試みる オプションなしでは複…

msfconsoleでのエラー

ふと、msfconsoleを開いたらこんなエラーが出てた ┌──(rootsnowyowl)-[~]└─# msfconsole [!] The following modules could not be loaded!..|[!] /usr/share/metasploit-framework/modules/auxiliary/scanner/msmail/exchange_enum.go[!] /usr/share/metaspl…

metasploitを使って軽く遠隔操作

今回は、metasploitを使って対象の端末を遠隔操作していきます。 metersploitは、自分の管理しているPCにのみ使用してください。※悪用厳禁 また、今回は攻撃社側をkali linuxとしていますが、metasploitが使える環境であれば十分です。 対象のローカルipアド…

軽くSQL

SQLとは SQLとはStructured Query Languageの略で、データベースとやりとりする言語です。 SQLには、データベースや表などを定義する「データ定義言語」と「データ操作言語」 の2つにわかれます。 表の作成 表を定義するには「CREATE TABLE」を使います。 代…

stellaとstellaf マルウェア表層解析ツール

stella Windowsには、pestudioとか素晴らしいツールがあるのですが。 kali linuxのvirtualbox上でwindows7とか10を動かすのは、いくら16GBのメモリを積んでるからと言っても極力避けたいのです。 そこでlinux上でぱぱっと動くWindowsマルウェア表層解析ツー…

njRAT.exeの解析

今回は、njRAT.exeについてのレポートを書いていきます。 このマルウェアの名前にもあるRATというのは、マルウェアの種類で 標的攻撃を行って乗っ取りをするマルウェアのことですが、実際の挙動はどのようなものなのかを解析していきたいと思います。 サイト…

news.exeの解析

自由テキスト 今回は、news.exeについてのレポートを書いていきます。 サイト syrianmalware.com ダウンロードリンク https://syrianmalware[.]com/samples/a8ef5ccebd2e3babdd243a2861673c26.zip マルウェアなのでダウンロードする際には、万全の注意を払っ…

Aradamax.exeの解析

今回は、Aradamax.exeについてのレポートを書いていきます。 MD5 e33af9e602cbb7ac3634c2608150dd18SHA-256 8c870eec48bc4ea1aca1f0c63c8a82aaadaf837f197708a7f0321238da8b6b75SHA1 8f6ec9bc137822bc1ddf439c35fedc3b847ce3fe theZooというオンラインデータ…

Skype.exeの解析

今回は、Attack.M.exe(ダウンローダーでダウンロードされるマルウェアのSkype.exeについてのレポートを書いていきます。 サイト syrianmalware.com Skype.exeのダウンロードリンク https://syrianmalware[.]com/samples/a9e6f5d4c5996ff1a067d4c5f9ade821[.…

アセンブリ言語入門 その7

今回は、配列と文字列をやっていこうと思います。 配列 配列は、メモリ内の連続した場所に格納されるため簡単にアクセスできます。 スタックは使わないです。 例えば、int型の4つの要素を含む配列だったら、C言語で int nums[4]={1,2,3,4} と表せます。同じ…

アセンブリ言語入門 その6

今回は、関数について書いていきたいと思います。 関数に触れる前に 関数が呼び出されると、制御は別のメモリアドレスに移動します。 CPUはそのメモリアドレスで処理を実行し、処理が終わると元のメモリアドレスに戻ってきます。関数のパラメータ、ローカル…

アセンブリ言語入門 その5

今回は、While文についてやっていきます。 While文 While文には、初期化・継続条件・アップデート文が必要です。初期化は一度だけ行われて継続条件までアップデート文に従って処理を続ける。ってとこでしょうか。 それでは、前回と同様C言語と見比べてみまし…

アセンブリ言語入門 その4

条件分岐 分岐命令は、実行制御を別のメモリアドレスに移します。 分岐を実行するためアセンブリではジャンプ命令がよく利用されます。 ジャンプには、無条件ジャンプと条件付きジャンプの2つがあります。 無条件ジャンプ 無条件ジャンプでは常にジャンプを…

アセンブリ言語入門 その3

頭の片隅に置いておくと理解がすすむもの ・バイト→ビット ×8・ビット→バイト /8・アセンブリとは、マシンコードをアセンブリコードに変換すること ・x86 CPUには、8つの汎用レジスタがある。 EAX・EBX・ECX・EDX・ESP・EBP・ESI・EDI これらは全て32ビット(…

アセンブリ言語入門 その2

頭の片隅に置いておくと理解がすすむもの ・バイト→ビット ×8・ビット→バイト /8・アセンブリとは、マシンコードをアセンブリコードに変換すること ・x86 CPUには、8つの汎用レジスタがある。 EAX・EBX・ECX・EDX・ESP・EBP・ESI・EDI これらは全て32ビット(…

アセンブリ言語入門 その1

今回から、何記事かにわたってアセンブラ言語について書いていきたいと思います。少し前に、マルウェアの分析を初めて1本記事を書いたのですが、 qwertytan.hatenablog.jp マルウェアの挙動の分析をしていてアセンブラがわからなくて悔しい部分があったので…

Attack.m.exeの解析

Attack.m.exeとは、下のサイトから入手したマルウェアで、このマルウェアの解析をしていこうと思う。 シリアの内戦で使われたマルウェアらしい。 基本的な情報 ・Windows7で動く ・ハッシュ MD54141842e30edaf429309ea6bc2374ef5SHA-25685dd1f03eaf0bc5cc550…

自分的良く使うツールのチートシート

サーバー関連 FTPサーバー File Transport Protocol 接続 ftp サーバーip ユーザー名とパスワードを入力 全てのファイルの表示 ls -a サーバーのファイルの中身を表示 get ファイル名 - サーバーのファイルをダウンロード get ファイル名 サーバーの複数のフ…

DC-2 Write Up

virtual boxでDC-2を起動させて、ターミナルで ┌──(rootsnowyowl)-[~] └─# netdiscover 11 Captured ARP Req/Rep packets, from 7 hosts. Total size: 516 IP At MAC Address Count Len MAC Vendor / Hostname --------------------------------------------…

Metasploitable2へのvsftpdの既知の脆弱性を利用した侵入

┌─[✗]─[root@anon]─[~]└──╼ #netdiscover Currently scanning: 192.168.84.0/16 | Screen View: Unique Hosts 2 Captured ARP Req/Rep packets, from 2 hosts. Total size: 84 ___________________________________________________________________________…

Windowsの拡張子偽装

windowsでエクスプローラーを開いて、左クリック 新規作成、テキストを選択 名前の変更、適当な言葉を入れる。[syasinn]みたいな そのままボックスを左クリック。 unicode文字の挿入→RLO(start-Right-to-Left-Overdrive)を選択→txt.batと入力 RLOは、アラブ…