Enviar búsqueda
Cargar
CTFトラックの報告的なもの(公開版)
•
2 recomendaciones
•
3,478 vistas
nomuken
Seguir
セキュリティキャンプ 2015のCTFトラックにて行われたCTF4b出張版の成果報告スライドです
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 21
Descargar ahora
Descargar para leer sin conexión
Recomendados
2011年4月23日の minami.rb 第7回勉強会のLTで発表した「15分でできるSQLインジェクション」の発表資料です。
15分でできるSQLインジェクション
15分でできるSQLインジェクション
よしだ あつし
複合主キーは必須なのか?<第55回IT勉強宴会Light>発表資料。プロジェクターのない環境での発表でしたので、高橋メソッドで発表しました。発表後にグレーの小さい文字を追加しました。
複合主キーの扱い方
複合主キーの扱い方
Makoto SAKAI
スコアサーバーを題材にひとまず脆弱性の説明をしたスライド.
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
nomuken
TDU FENで話したLT(LongTalk)のスライド,自分が考えうる最悪な状態のサーバーを攻撃するというテーマのスライド
Dendai is Secure?
Dendai is Secure?
nomuken
TDU FEN LTでやった話のスライド
mlabCTFの話
mlabCTFの話
nomuken
某所で発表した時のアレ,初めて作った.
自作CTFについて考えてみる
自作CTFについて考えてみる
nomuken
第一回福井技術者のつどいでの発表スライドです
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
初心者向け、SECCON2015binary100の解説LT
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
Recomendados
2011年4月23日の minami.rb 第7回勉強会のLTで発表した「15分でできるSQLインジェクション」の発表資料です。
15分でできるSQLインジェクション
15分でできるSQLインジェクション
よしだ あつし
複合主キーは必須なのか?<第55回IT勉強宴会Light>発表資料。プロジェクターのない環境での発表でしたので、高橋メソッドで発表しました。発表後にグレーの小さい文字を追加しました。
複合主キーの扱い方
複合主キーの扱い方
Makoto SAKAI
スコアサーバーを題材にひとまず脆弱性の説明をしたスライド.
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
スコアサーバーに起きた脆弱性で学ぶWebセキュリティ
nomuken
TDU FENで話したLT(LongTalk)のスライド,自分が考えうる最悪な状態のサーバーを攻撃するというテーマのスライド
Dendai is Secure?
Dendai is Secure?
nomuken
TDU FEN LTでやった話のスライド
mlabCTFの話
mlabCTFの話
nomuken
某所で発表した時のアレ,初めて作った.
自作CTFについて考えてみる
自作CTFについて考えてみる
nomuken
第一回福井技術者のつどいでの発表スライドです
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
初心者向け、SECCON2015binary100の解説LT
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
year's end hack day 2014@FMS
CTF初心者🔰
CTF初心者🔰
icchy
talk at Pycon Jp2015
Ry pyconjp2015 karaoke
Ry pyconjp2015 karaoke
Renyuan Lyu
https://pycon.jp/2015/ja/schedule/presentation/44/
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
SaitoTsutomu
アルゴリズム・ゲームAI・インフラ・データマイニング・セキュリティのコンテストと、そのはじめかたを紹介していきます。
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
cocodrips
アブストラクト https://pycon.jp/2015/ja/schedule/presentation/53/ 公演ビデオ https://youtu.be/7SNVx3YzY5E?t=1166
日本のオープンデータプラットフォームをPythonでつくる
日本のオープンデータプラットフォームをPythonでつくる
Yuta Kashino
「第12回セキュリティさくら」で発表したLT資料です
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
This is an introduction to MAPPO's paper.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Key topics covered: - Understanding Ballerina's role in integrations: features and advantages - Designing and implementing REST APIs for integration - Designing and implementing GraphQL services with Ballerina - Monitoring and observing applications - Introduction to data integration
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
2024年5月8日 Power Platform 勉強会 #1 LT資料
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Jue Wang, Wentao Zhu, Pichao Wang, Xiang Yu, Linda Liu, Mohamed Omar, Raffay Hamid, " Selective Structured State-Spaces for Long-Form Video Understanding" CVPR2023 https://openaccess.thecvf.com/content/CVPR2023/html/Wang_Selective_Structured_State-Spaces_for_Long-Form_Video_Understanding_CVPR_2023_paper.html
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Syed Talal Wasim, Muzammal Naseer, Salman Khan, Ming-Hsuan Yang, Fahad Shahbaz Khan , "Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Grounding" arXiv2024 https://arxiv.org/abs/2401.00901v2
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
2022年10月27日に社内向けに開催した勉強会資料の社外公開版です(発表8分程度)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
LoRaWANスマート距離検出センサー DS20Lカタログ
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Más contenido relacionado
Destacado
year's end hack day 2014@FMS
CTF初心者🔰
CTF初心者🔰
icchy
talk at Pycon Jp2015
Ry pyconjp2015 karaoke
Ry pyconjp2015 karaoke
Renyuan Lyu
https://pycon.jp/2015/ja/schedule/presentation/44/
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
SaitoTsutomu
アルゴリズム・ゲームAI・インフラ・データマイニング・セキュリティのコンテストと、そのはじめかたを紹介していきます。
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
cocodrips
アブストラクト https://pycon.jp/2015/ja/schedule/presentation/53/ 公演ビデオ https://youtu.be/7SNVx3YzY5E?t=1166
日本のオープンデータプラットフォームをPythonでつくる
日本のオープンデータプラットフォームをPythonでつくる
Yuta Kashino
「第12回セキュリティさくら」で発表したLT資料です
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
Destacado
(6)
CTF初心者🔰
CTF初心者🔰
Ry pyconjp2015 karaoke
Ry pyconjp2015 karaoke
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
組合せ最適化を体系的に知ってPythonで実行してみよう PyCon 2015
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
強くなるためのプログラミング -プログラミングに関する様々なコンテストとそのはじめ方-#pyconjp
日本のオープンデータプラットフォームをPythonでつくる
日本のオープンデータプラットフォームをPythonでつくる
CTF超入門 (for 第12回セキュリティさくら)
CTF超入門 (for 第12回セキュリティさくら)
Último
2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
This is an introduction to MAPPO's paper.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Key topics covered: - Understanding Ballerina's role in integrations: features and advantages - Designing and implementing REST APIs for integration - Designing and implementing GraphQL services with Ballerina - Monitoring and observing applications - Introduction to data integration
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
2024年5月8日 Power Platform 勉強会 #1 LT資料
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Jue Wang, Wentao Zhu, Pichao Wang, Xiang Yu, Linda Liu, Mohamed Omar, Raffay Hamid, " Selective Structured State-Spaces for Long-Form Video Understanding" CVPR2023 https://openaccess.thecvf.com/content/CVPR2023/html/Wang_Selective_Structured_State-Spaces_for_Long-Form_Video_Understanding_CVPR_2023_paper.html
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Syed Talal Wasim, Muzammal Naseer, Salman Khan, Ming-Hsuan Yang, Fahad Shahbaz Khan , "Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Grounding" arXiv2024 https://arxiv.org/abs/2401.00901v2
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
2022年10月27日に社内向けに開催した勉強会資料の社外公開版です(発表8分程度)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
LoRaWANスマート距離検出センサー DS20Lカタログ
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Último
(11)
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CTFトラックの報告的なもの(公開版)
1.
GW徹夜で報告スライドを作ってない人の顔
2.
報告的なもの 〜寝かす気がないのに寝ろと言うな〜 @nomuken
3.
自己紹介 ● 学部3年生 ● Twitter
-> @nomuken ● 今日はラビットハウスから来ました
4.
問題解説 ❖ 申し訳ない程度にやる ➢ Yagihashoo!
(Web100) ➢ Amazing Language (Web400)
5.
Yagihashoo! ❖ SQLi(えすきゅーえるいんじぇくしょん)問題 ➢ 方針としては自分でパラメータを変えられるところ探す ➢
今回は検索バー ➢ 結果から挙動を見て辻褄を合わせて望みのデータを得 る
6.
参考:SQLi ❖ SQL文に,特別な意味を持つ記号を注入しSQL文の意 味を変更する(だいたい悪い方で)脆弱性 ❖ 元) select
* from sites where title like ‘%ワード%’; ❖ 改変) select * from sites where title like ‘%’ union all select 1,1,1;--%’;
7.
Yagihashoo! 結果が同じ => 「||」を利用した文字列連結に成功している=>
SQLiteを利用している
8.
Yagihashoo! union selectは他のテーブルの内容を連結する => 連結先(サイトの一覧)のカラム数と一致しなくてはならない =>この画像ではカラム数は3つであることが分かった
9.
Yagihashoo! どんなテーブルがあるか知りたい =>ログを見たい =>SQLiteでは,発行したクエリのログはに保存sqlite_masterテーブルのsqlカ ラムされている
10.
Yagihashoo! 今までの方法でテーブルとカラムにアクセスするとフラグゲット
11.
Amazing Language ❖ ほぼ知っているかを要求する問題 ➢
Webのトリビア感…… ➢ ファイルの特徴をググるとなんとかなるはず
12.
ググり方の例
13.
すなわち…… ❖ PNG画像の色コード =
ASCII文字 ➢ しかもご丁寧に自己解凍型な画像になっている ➢ canvasを利用して色を取得という形 ➢ htmlで開けばjsが実行される
14.
ひとまずhtmlで挙動を見る ❖ 拡張子をpngからhtmlに変更して開く ➢ とはいえ,開いても何も起きない ■
javascriptを読まねばならない
15.
そもそも…… ❖ コードよりeの内容を見てみればいいよね
16.
難読化つらひ ❖ あれ……ここ難読化読経で出たやつだ!! ➢ (本人はトラックに出てません) ➢
(出たかった) ❖ ひとまず,デコーダ使いましょう
17.
あとはやるだけ コンソールで「alert.givemeflag()」を実行すればよい
18.
終
19.
CTFの面白いところ ❖ (必ずしも自分がそうとは言えないですが) ❖ 応用に応用な技術を考え使う面白さ ➢
その答えを見るのも面白い ➢ 自分とは全く違う解答をしている人も楽しい ❖ 解けた時の面白さ ➢ 解けたらガッツポーズする
20.
CTFの今後 ❖ CTFはゲーム性が高い ➢ 作問者の立場からみると面白い脆弱性があってもそれ を問題として作れない ➢
「〜の結果〜が見れるのようなゲーム性が必要」 ➢ でも,やっぱり面白い ❖ もっと現実よりか,ユニークさか……
21.
CTFの次は…… ❖ 問題を作れない脆弱性も知りたい…… ❖ もっともっと面白いことを,好きなだけ……
Descargar ahora