記憶

いろいろ書きます

HHKB買っていました

当該ツイートです.

届いたのは6月29日ということでだいたい50日使いました.

製品について

amazonです.

Pro2です.BTではありません.

またamazonにはNキーロールオーバーと書いてありますがUSB接続ですので文字キーの同時認識は最大6キーでした. もしかしたらNキーロールオーバーになるモードがあるのかもしれません.

感想とか

無刻印ですが文字入力に関しては通常のqwerty配列のためすぐに打てます.他には矢印などよく使う記号(?)キーはすぐに手が覚えられます.

最初無刻印でキー配置が見れなくて心配…ってなっていましたが普通に慣れました. 配列に関しても英字配列は初めて…とかUnix配列は初めて…などありましたが1ヶ月くらい使っていたらだいたい慣れました.

終わり

打鍵音はけっこう大きいですが打ちやすいのとキーボード打ってる感が出てすごくいい商品だと思いました.

C92参加しました

3日間のコミケ本当にお疲れ様でした.初参加でしたがたくさん楽しむことができたと思います. 薄い本もたくさん買えたので😊😊になっています.

一般参加について

まず1,2日目は一般ということで参加しました.本とかいろいろたくさん売ってました. オールジャンルということでいろんなジャンル見てきました. イイネェ~みたいなのとか何これ…みたいなの色々あっていろんな人いるんだなみたいな気持ちでした.

サークル参加について

3日目東6ホール"ニ"ブロック07bにて本出してました.

遅刻

サークル入場で遅刻しました. 新宿から埼京線乗ろうとして駅入ったら次の電車あと2分~ってなったのでホームに駆け上がったんですが既にドア閉まっていて乗れず次の電車に乗りました. 電車乗ってるときずっと遅刻したときの対処法みたいなの見てたんですが「なんとか間に合いました^^」とか「売り子が先に入っててなんとかなりました^^」みたいな感じの記事が多くて😰😰になりつつ オンオン泣きながらフォロワーに教えていただいた情報に頼ってました.本当にありがとうございます.

後から調べたらその乗り遅れた電車に乗っても遅刻確定でした.ドアホです.どの電車に乗れば間に合うかくらい調べましょう.

入場に関しては一応9:30まではサークル入り口は開いてるらしいので急いで向かって遅刻サークル専用入場口みたいなところから遅れて入場しました. 案外人が多くてびっくりしたのと入場が10時以降ってことで20~30分くらい待ちます. 自分のスペースに着くと青紙が貼られていたりと遅刻した感がすごく出てました.

たぶん15部ぐらい刷ったんですが余り1部くらいになりました.5ページ表紙が文字オンリーのよくないね👎な本にしてはイイネみたいな感想です. 配布できたのがほとんど身内なのでそれはそうみたいな気持ちです(受け取ってくださって本当にありがとうございます). 次からはコピ本じゃなくてちゃんとした印刷所の印刷にしたい気持ちがあるのでそのときは有償にするかと思います. 告知も多分するのでみんな買ってね😄

おわり

終わりです.ありがとうございました.

SECCON Beginners長野 Writeup

行ってきました.writeupです.

SECCON Beginnersとは

昨年までCTF4bとして運営されていた初心者向けCTF講習会です. 今回から懇談会も追加されワイワイできました.

内容について

Web,forensics,binaryの3種類の講義を受け,最後にCTFオリエンテーションとして講義内容を使用したCTFをしました.

Writeup

本題です.記憶力が無いのでタイトルとか問題とかあまり覚えていませんが書いていきます.

  • 練習問題
    フラグが書いてあるのでそのままやります.

  • [misc] てけいさん for ビギナーズ
    1ケタの足し算,引き算,掛け算が表示されて100問解くとフラグが出ます.
    コードを書くより手で解いた方が速いと思ったので手で100問解きました.
    パパッと自動化するアタマが無いので1000問とかだったら死んでたかもしれないです.

  • [forensic] for100
    あまり覚えてませんがpcapが渡されてhttpを追跡するとフラグが出たと思います.

  • [forensic] for200
    pcapngファイルがあってそこからパスワード付きzipを抽出,通信を見てパスワードを探して解凍,その中にある画像ファイルのexifを覗くとフラグがあるというものですが 抽出したzipファイルが壊れていたっぽくて解けませんでした.

  • [forensic] for300
    問題ファイルを解凍すると中には3.binというファイルがありました.fileコマンドで調べるとNTFSということでした.まあわからないので飛ばしました.

  • [binary] bin100
    bin100_1というファイルが降ってきました.stringsコマンドで一発でした.

  • [binary] bin200
    objdumpすると配列のようなものにASCIIコード的なものがmovされていたのでCでそれっぽく再現したところフラグになりました. あんまり説明読んでなくてステージ2(?)しか解いてませんでした.

  • [binary] bin300
    bin200のように配列的なものがありましたがASCIIでは無さそうでその後にsrandでゴニョゴニョしてそうだったので時間かかるかなと思って飛ばしました.解いてません.

  • [web] Fix
    ヘッダのlocationのところがlocatin:FLAGのような感じのtypoでリダイレクトできなくなっている感じのやつでした. フラグは平文でデカデカと書かれていたのでそのままsubmitしました.

  • [web] (問題名忘れました)
    sqliだったことしか覚えてないです.講義でやったように' OR ‘1’ = ‘1で通ったと思います.

  • [web] login
    ディレクトリトラバーサルです.解けませんでした. ログインしようとしてerrorとなるとphpがエラーメッセージのテキストをfile_get_contentsで取ってくるのでそこにソースを入れれば見れました.
    index.phpはすぐ見つけられましたがflagとsqliteを含む文字列は通らないということでなんもわからず. その後終了10分前くらいにlogin.phpを見つけましたがカッコがSQLiを防いでることに気づかず時間切れでした.

以上で1400点です.5位でした.

久しぶりのCTFでしたが楽しくできて知見得られてアドでした.

ctf4b 2016 final write up

参加してきたのでwriteup書きます。

  • welcome(100)
    フラグが書いてあるのでやるだけ

  • CountUp Game(200)
    21にならないようにするやつ。 後攻なので相手の出した数と自分の出した数の和が4になるようにすると勝てる。 10回勝つとフラグが吐かれる。

  • Classical Injection(100)
    多分SQLiの問題だった。(忘れた)

  • May the extensions be with you.(100)
    付属のChrome拡張を使うなどしてCookieをtrueにするとフラグゲット。

  • みつけてみよう(100)
    wiresharkで開くとhttp通信が多いのでとりあえずオブジェクトをexportして20個くらいのhtmlの中から人力で中身のあるフラグをみつけてみた。

  • HiddenFlag(100)
    とりあえずstringsコマンドで見たらフラグがあった。

  • 復習(200)
    講義でやった内容の復習。 shlでけっこう戸惑った。

以上が解けた問題で900点の44位でした。

バイナリは苦手で今までかなり避けてきたのですごく勉強になりました。

第5回git challengeに参加してきました

ブログ書くまでが遠足!ということで書きました。

git challengeとは

これです。↓↓↓ mixi-recruit.snar.jp

だいたいこれ通りですがgitでソースを管理する上で起こる問題を解決するというイベントでした。

応募とか

なんかgitあんまり使ったこと無いしやってみたいな〜って軽いノリで応募してたら受かってました。(すみません…)

午前

競技のチュートリアルとかしました。木の椅子でお尻カチカチでした。

お昼

回らない巻き寿司を食べました。働かず食う🍣はおいしいです。

競技

問題の内容については秘密らしいので言えませんが僕は1番難易度の低い問題2問解いてオシマイでした。 4時間競技がありましたが基礎知識が全然無くてずっとグーグル先生に頼りっぱなしでした。

解説の時間

最後まで解けなかった問題は解説を聞いて納得しました。 現実にありえる問題でもあるのでここで経験できたのはプラスになると思います。

懇親会

串カツとおでん🍢でした。 ここでガチプロ集団がプロ話を始めたのでついていけなくて😢になりました。 あと未成年なんで🍺飲めませんでした。というか大人多かったです。

おわりに

今回はコミットの流れとかブランチの位置などをあまり理解できていなかったので詰まっちゃったと思います。 他にもいろいろな技術の話などできてよかったです。 あとカバ君かわいいかったです。

AndroidStudioをwin機からLinux機に乗り換えたときの話

あいさつ

あけましておめでとうございます。昨年は特になんもしてなかったですが今年もよろしくお願いします。

本題

今までAndroidアプリの開発を激遅HDD積んだWin機のAndroidStudioでやってきてたんですが重すぎて使い物にならずSSD積んだLinux機に乗り換えました。 そのときwin機で書いていたプロジェクトを移行しようとしたところgradleのビルドエラーが出たのでその話をします。
Linux機のOSはUbuntu16.04LTSです。

エラー

AAPT process not ready to receive commands

全体をメモるの忘れましたが:app:mergeDebugResourcesのタイミングで起きました。

解決方法

32ビット用のライブラリが足りてなかっただけでした。
以下をターミナルに入力
sudo apt-get install lib32z1 lib32ncurses5 libbz2-1.0:i386 lib32stdc++6
公式のページではlibbz2-1.0:i386ではなくlib32bz2-1.0ですが公式通りだとapt-getにパッケージが見つからないと怒られてしまいます。

原因

解決方法にあるコマンドは本来インストール時に入力するものでしたが公式のインストール手順ではなくGoogle検索の1番上に表示された古いQiita記事を参考にしたためライブラリに関する情報が古かったことでした。

終わりに

公式がインストール手順を丁寧に公開してる場合はそっちを見たほうがいいと思います。

Aizu CTF #2に参加したら優勝した

こんにちは、10月1日にAizu CTF #2 参加しました。

CTFは常設のものをちょっとかじったりするくらいで全然知識無かったですがとても楽しめたり知見を得たりしたりできてよかったです。(フラグは1個も取れなかったですが)

ルール

よくあるJeopardy形式ではなくAttack&Defense形式で1チームごとに脆弱性のあるサービスが渡されて他のチームのサービスに攻撃したり自分のチームの防御をします
今回は1チーム1人の個人戦でサービスは全員同じもの(だったと思います)
サービスが動いているかチェックするSLA?に応じて防御点が入り、他サービスに攻撃してフラグを盗んで運営サーバーに送信すれば攻撃点が入ります。
ポイントはこの2つを足したものとなり、攻撃されたチームは相手から攻撃点分のポイントが引かれます。(攻撃点はフラグ1つで5点)
ラウンドという5分間の区切り(?)があってこれが終わるときに各チームのサービスのチェックが行われるらしいです。
14:00〜19:00(予定)の5時間が競技時間で最初の30分間はラウンドが進まず他のチームにもアクセスできずフラグも送れないようになってました。(サービスのソース読んでました)

競技前

競技前は講義ということで_193s氏プロの講義を受けることができました。
今回はSQL InjectionやXSSなどの脆弱性の説明でした。XSSはalert出したりCookie表示するくらいしか知識が無かったので勉強になりました。

競技中

競技は予定より10分遅れて14:10に始まりました。
とりあえずサービスにログインしてソース読もうかな〜と思ってたんですが最初どれが何のファイルかわからなかったです。まあ事前にflaskのチュートリアルを読んでおくように言われていたんですが本当に軽く見たくらいだったのでどんな構成かすらわからなかったというワケです(アホ)
しばらくして見つけたんでしたが、Python書いたことなくてほぼ書けず(ifどう書くのか知らなかったくらい)30分くらい調べてました。
あと話をよく聞いてなくて管理者ユーザーを登録しなかったんでサービスのチェックが通らなくて防御点全然入らず下から4番目くらいの点でオア~となっていました。
激弱なので最初はほぼ進捗無かったです。悲しみ。
中盤ですが管理者ユーザーの登録もして防御点(?)がバンバン入ってきて上から4,5番目くらいになってました。ですが、このとき進捗はほぼ0でちょっとSQLi試したりしてたくらいです。
そしてこのあたりからプロの方々がフラグをGETし始めてました。そしたら自分も攻撃されてたんで前日に見たA&Dのwriteupの攻撃されたら1回サービス止める!wみたいな感じでSLAになるまでサービス止めてました。(人為的にサービス止めるの某ゴ○○タみたいな感じでアレでしたが…)
ちょっとして登録ユーザーを眺めてたら"abcdhoge"のような名前で管理者権限のついているユーザーがたくさん登録されていたのでここからフラグが盗まれてるのでは…と思ってユーザー登録時にhogeの入ったユーザーを正規表現で弾きました。
ここから何かユーザー登録画面に脆弱性があるのでは…?と思って競技終了までユーザー登録の部分をず~~っと読んでました。後の解説からわかったんですがここは別に脆弱な部分ではなかったようです。すごく悲しみ。
終盤の方は新しくランダムなアルファベット名のadminユーザーが登録されてたので適当に正規表現で英字ユーザーの登録を弾いてました。このとき攻撃点が全く入らず1位だったのでかなり焦ってました。
終了10分前くらいはもう何もわからずボケ~っとソースを眺めてました。最初から最後までどうやったらフラグを取れるのか全くわからなかったです。

競技後

最後のSLAが終わって競技終了でした。順位は1位でした。優勝です✌
それはそうなのですが競技内容を見るといろいろボロカスだったのでもっと精進したいです。
この後解説を聞いたたんですがなるほど~!といった感じで全くなにもかもわからないというわけでわけではなかったです。
その後はパパッと片付けして郡山のホテルに逃げるように帰りました。コミュニケーションをほぼ取れなかったの反省してます。