My Man file – Page 13 – 自分用の備忘録。定期的に記事を見直し、修正が必要な部分は修正すること。

プログラムのソースコードや逆アセンブルからRC4暗号の兆候を見つける

Posted on February 24, 2021February 24, 2021 by Tony3

RC4暗号が実装されたプログラムのソースコードや逆アセンブルにはどのような特徴があるかのメモ。RC4暗号についてはこちら。

CFF ExplorerでWinodwsファイルのASLRを無効化するには

Posted on February 12, 2021February 12, 2021 by Tony3

ASLR (Address space layout randomization)とは、実行プログラムがメモリ領域に格納するデータのアドレスをランダム化する技術のこと。プログラムを攻撃から守るためのセキュリティ機能ではあるものの、プログラムをデバッガ等で解析する際は、アドレスが固定されていたほうが解析しやすい。解析対象がWinodwsファイルの場合、CFF Explorerを利用してASLRを無効化できる。ファイルをCFF Explorerで開き、Optional HeaderセクションからDllCharactersiticsのClick hereをクリックする。"DLL can move"の項にチェックが入っている場合はASLRが有効化されている。無効にしたい場合はチェックを外す。参考https://www.sans.org/blog/tools-for-analyzing-static-properties-of-suspicious-files-on-windows/https://www.sans.org/blog/dealing-with-aslr-when-analyzing-malware-on-windows-8-1/

[Windows] ベース・アドレスのメモ

Posted on December 13, 2020January 30, 2023 by Tony3

Windowsにおいて、ベース・アドレスとはプログラムがメモリにロードされる際に使用されるデフォルトのアドレス位置のこと。

[32ビット・システム] 関数呼び出し時のスタックの動きのメモ

Posted on December 6, 2020July 14, 2024 by Tony3

32ビット・システムにおける関数呼び出し時のスタックの動きについて。こちらの記事でも書いた内容を改めてまとめ直した。まずは関連用語の覚書スタック関数の引数、関数内部のローカル変数や戻りアドレスが格納される。LIFO (Last In, First Out 後入れ先出し)。スタック領域はメモリの上位アドレスから下位アドレスに向かって確保されていく。スタック領域はプログラム実行時にコンパイラやOSによって自動的に割り当てられる。ヒーププログラムの実行中に動的に確保されるメモリ領域。例えばmallocによって動的にメモリ領域を確保する場合は、ヒープ領域上に確保される。ヒープ領域はメモリの下位アドレスから上位アドレスに向かって確保されていく。 EIP次に実行する命令文のアドレスを格納している。命令文が実行されるたび、EIPの値は加算される (どのくらい加算されるかは実行された命令文のサイズによる) ESPスタック・ポインタ。スタック領域のトップに積まれたデータのメモリー・アドレスを格納する。スタックはメモリの上位アドレスから下位アドレスに向かって積み上がっていくので、ESPは最下位のアドレスに格納されたデータを指す。 EBPベース・ポインタ。データの格納領域の基点のメモリー・アドレスを格納する。通常、関数の最初において、EBPにはESPの値が設定される。これは関数の引数とローカル変数を追跡するためである。ローカル変数へのアクセスはEBPからオフセットを引くことによって行われる。関数の引数へのアクセスはEBPにオフセットを加算することによって行われる。※ただし、gccなどのGNUコンパイラは関数の引数・変数へのアクセスにEBPではなく、ESPを用いる。

Windowsの正規機能を悪用した権限昇格のメモ

Posted on December 1, 2020April 30, 2023 by Tony3

Windowsの正規機能を悪用した権限昇格のメモ。

[Apache] HTTP POSTのボディ部分をログに出力するには

Posted on November 23, 2020April 1, 2022 by Tony3

ApacheでHTTP POSTのボディ部分をログに出力するにはApacheのdumpioというモジュールを有効化する。（公式ドキュメントでは、オーバーヘッドの観点からデバッグ時のみ有効化することを推奨している）基本的にはこちらのサイトを参考にした。

PsKillについてのメモ

Posted on November 13, 2020November 13, 2020 by Tony3

PsKillとはWindows Sysinternalsより提供されている、プロセスをkillするためのコマンドライン・ツール。ローカルホストのプロセスだけでなく、リモートホストのプロセスも終了させることができる。

Reverse Shellのメモ

Posted on November 8, 2020December 27, 2022 by Tony3

Reverse Shellとは、被害者コンピュータから攻撃者のコンピュータに対してシェルを提供する仕組みのこと。攻撃者コンピュータは被害者コンピュータからの接続を特定のポートで待ち受ける。被害者コンピュータは攻撃者コンピュータの特定のポートに対して接続を行い、シェルを提供する。

Inno Setupのアンパックにはinnounpが便利

Posted on October 13, 2020March 22, 2021 by Tony3

Inno Setupのアンパックにはinnounpが便利。本記事投稿時点の最新バージョンは0.49。 innounp.exe -x -d<target dir> <Inno installer binary> 以上。

[CVE-2020-25213] WordPressのFile Managerプラグインの脆弱性のメモ

Posted on September 12, 2020September 16, 2020 by Tony3

WordPressのFile Managerプラグインのリモートコード実行の脆弱性が公表されました。 File Manager バージョン6.8以前を使用していた場合、connector.minimal.phpというファイルに細工したHTTPリクエストを送ると、任意のコマンドを実行される恐れがあるという内容です。 connector.minimal.phpに細工したHTTP POSTリクエストを送って、WebShell等の悪意のあるファイルをサーバーにアップロードするという攻撃が広く確認されています。この脆弱性はバージョン6.9で修正されています。

← Newer posts Older posts →