Entries from 2016-01-01 to 1 year
1. はじめに shellcodeの解析の際に必要となった構造体情報を残しておく. 2. 構造体 ・_TEB 0:000> dt _TEBntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ActiveRpcHandle : Ptr32 Void +…
1. はじめに 前回に引き続きshellcodeを生成して読んでみる. 2. shellcodeの生成 Kali Linux内のmetasploitを利用してshellcodeを生成する. root@kali:~# uname -aLinux kali 4.5.0-kali1-amd64 #1 SMP Debian 4.5.3-2kali1 (2016-05-09) x86_64 GNU/Linux r…
1. はじめに YARAについての覚書として. YARAとはマルウェア等を識別するツールである. いわゆるシグネチャマッチングができる. YARA is nutshell 2. rule 今回テストとしてEICARテストファイルを使用する. テンプレートを示しておく. conditionに判定を記述…
1. はじめに LabyREnth CTF Windows Track のLv6の問題 (Shellcode) にて. 覚書として. 2. shllcode Ambrosius.exeを対象に行う. > cdb Ambrosius.exe 0:000> dt _TEBntdll!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 Clie…
1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・Squirtle (Windows Lv3) zipを解凍する(Pass : infected)とSquirtleChallenge.exeが出てくる. 基本的にAnti Debugの問題. それぞれをデバッガで消していく or 条件を合わせると解ける. 最終…
1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・Perl (Unix Lv1) zipを解凍する(Pass : infected)とbowie.plが出てくる. (一部抜粋) my $input = ; $input = trim($input); if ($input eq (chr(5156 - 5035) . chr(-4615 - -4716) . chr(3…
1. はじめに LabyREnth CTF - くじらとたぬきと同じ. 2. writeup ・BadMacro (Docs Lv1) zipを解凍する(Pass : infected)とchallenge.docが出てくる. challenge.docからVBAを抽出する. Attribute VB_Name = "ThisDocument" Attribute VB_Base = "1Normal.Thi…
1. はじめに LabyREnth CTFに参加した. 解いた問題について残しておく.出題された分野はWindows, Unix, Threat, Mobile, Docs, Randomである. 2. writeup ・AntiD (Windows Lv1) zipを解凍する(Pass : infected)とAntiD.exeが出てくる. 実行してみる. UPXで…
