meterpreterの使えるコマンドということで、まとめていく 随時更新していく予定。 ・sysinfo システム情報取得 ・ipconfig 使い方は、dosコマンドと一緒 ・ps プロセス一覧取得 ・getuid ユーザーの確認 ・getsystem 権限昇格を試みる オプションなしでは複…

ふと、msfconsoleを開いたらこんなエラーが出てた ┌──(rootsnowyowl)-[~]└─# msfconsole [!] The following modules could not be loaded!..|[!] /usr/share/metasploit-framework/modules/auxiliary/scanner/msmail/exchange_enum.go[!] /usr/share/metaspl…

今回は、metasploitを使って対象の端末を遠隔操作していきます。 metersploitは、自分の管理しているPCにのみ使用してください。※悪用厳禁 また、今回は攻撃社側をkali linuxとしていますが、metasploitが使える環境であれば十分です。 対象のローカルipアド…

SQLとは SQLとはStructured Query Languageの略で、データベースとやりとりする言語です。 SQLには、データベースや表などを定義する「データ定義言語」と「データ操作言語」 の2つにわかれます。 表の作成 表を定義するには「CREATE TABLE」を使います。 代…

stella Windowsには、pestudioとか素晴らしいツールがあるのですが。 kali linuxのvirtualbox上でwindows7とか10を動かすのは、いくら16GBのメモリを積んでるからと言っても極力避けたいのです。 そこでlinux上でぱぱっと動くWindowsマルウェア表層解析ツー…

今回は、njRAT.exeについてのレポートを書いていきます。 このマルウェアの名前にもあるRATというのは、マルウェアの種類で 標的攻撃を行って乗っ取りをするマルウェアのことですが、実際の挙動はどのようなものなのかを解析していきたいと思います。 サイト…

自由テキスト 今回は、news.exeについてのレポートを書いていきます。 サイト syrianmalware.com ダウンロードリンク https://syrianmalware[.]com/samples/a8ef5ccebd2e3babdd243a2861673c26.zip マルウェアなのでダウンロードする際には、万全の注意を払っ…

今回は、Aradamax.exeについてのレポートを書いていきます。 MD5 e33af9e602cbb7ac3634c2608150dd18SHA-256 8c870eec48bc4ea1aca1f0c63c8a82aaadaf837f197708a7f0321238da8b6b75SHA1 8f6ec9bc137822bc1ddf439c35fedc3b847ce3fe theZooというオンラインデータ…

今回は、Attack.M.exe（ダウンローダーでダウンロードされるマルウェアのSkype.exeについてのレポートを書いていきます。 サイト syrianmalware.com Skype.exeのダウンロードリンク https://syrianmalware[.]com/samples/a9e6f5d4c5996ff1a067d4c5f9ade821[.…

今回は、配列と文字列をやっていこうと思います。 配列 配列は、メモリ内の連続した場所に格納されるため簡単にアクセスできます。 スタックは使わないです。 例えば、int型の4つの要素を含む配列だったら、C言語で int nums[4]={1,2,3,4} と表せます。同じ…

今回は、関数について書いていきたいと思います。 関数に触れる前に 関数が呼び出されると、制御は別のメモリアドレスに移動します。 CPUはそのメモリアドレスで処理を実行し、処理が終わると元のメモリアドレスに戻ってきます。関数のパラメータ、ローカル…

今回は、While文についてやっていきます。 While文 While文には、初期化・継続条件・アップデート文が必要です。初期化は一度だけ行われて継続条件までアップデート文に従って処理を続ける。ってとこでしょうか。 それでは、前回と同様C言語と見比べてみまし…

条件分岐 分岐命令は、実行制御を別のメモリアドレスに移します。 分岐を実行するためアセンブリではジャンプ命令がよく利用されます。 ジャンプには、無条件ジャンプと条件付きジャンプの2つがあります。 無条件ジャンプ 無条件ジャンプでは常にジャンプを…

頭の片隅に置いておくと理解がすすむもの ・バイト→ビット ×8・ビット→バイト /8・アセンブリとは、マシンコードをアセンブリコードに変換すること ・x86 CPUには、8つの汎用レジスタがある。 EAX・EBX・ECX・EDX・ESP・EBP・ESI・EDI これらは全て32ビット(…

頭の片隅に置いておくと理解がすすむもの ・バイト→ビット ×8・ビット→バイト /8・アセンブリとは、マシンコードをアセンブリコードに変換すること ・x86 CPUには、8つの汎用レジスタがある。 EAX・EBX・ECX・EDX・ESP・EBP・ESI・EDI これらは全て32ビット(…

今回から、何記事かにわたってアセンブラ言語について書いていきたいと思います。少し前に、マルウェアの分析を初めて1本記事を書いたのですが、 qwertytan.hatenablog.jp マルウェアの挙動の分析をしていてアセンブラがわからなくて悔しい部分があったので…

Attack.m.exeとは、下のサイトから入手したマルウェアで、このマルウェアの解析をしていこうと思う。 シリアの内戦で使われたマルウェアらしい。 基本的な情報 ・Windows7で動く ・ハッシュ MD54141842e30edaf429309ea6bc2374ef5SHA-25685dd1f03eaf0bc5cc550…

サーバー関連 FTPサーバー File Transport Protocol 接続 ftp サーバーip ユーザー名とパスワードを入力 全てのファイルの表示 ls -a サーバーのファイルの中身を表示 get ファイル名 - サーバーのファイルをダウンロード get ファイル名 サーバーの複数のフ…