Ubuntu 16.04 LTSにVirtualboxをインストールする

はじめに

こんばんは!じっきーです!
"Ubuntu 16.04 LTS"にVirtualboxのインストールを行ったので、その備忘録です。
以下URLに実際にインストールをしたときの動画がありますので、よければそちらも参考にしてみて下さい。
※動画内では長文のコマンドを使用していますので、実施する際はこのブログ内のコマンド例をコピペして行うと楽だと思います。

【手順】Ubuntu16.04LTSにVirtualboxをインストールしてみた

【手順:0】Ubuntuの最新化

とりあえず、Virtualboxをインストールする前に、ご自身のUbuntuを以下コマンドで最新の状態にして起きましょう。

$ sudo apt-get update
$ sudo apt-get upgrade

【手順:1】リポジトリの追加

デフォルトのリポジトリからVirtualboxをインストールすることも可能ですが、最新のVirtualboxは落としてきてくれません。
なので、Virtualboxの開発元である"Oracle"が公開しているリポジトリを以下コマンドで、追加してあげましょう。

cat << EOF | sudo tee -a /etc/apt/sources.list > /dev/null
deb https://download.virtualbox.org/virtualbox/debian $(lsb_release -cs) contrib
EOF

※1行だと動かないコマンドになりますので、各行で改行を行って下さい。

【手順:2】公開鍵の取得

どうやら、自己証明書を使っている?ようなので、事前に公開鍵を取得する必要があります。
以下コマンドで取得と適用を行ます。

wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

【手順:3】Virtualboxのインストール

ここまで来たら、あとはインストールを行ます。

sudo apt-get update
sudo apt-get install virtualbox-5.2

最後に

これで、Virtualboxのインストールは完了になります。
あとは煮るなり焼くなり好きにしちゃいましょう!

【Writeup】BeginnersCTF Misc "plain mail"

はじめに

Beginners CTF の"plain mail"のWriteupです。
ジャンルは"Mics"に分類されていますが、問題の内容なネットワークになります。

Writeup動画を以下に上げていますので、分かりづらければそちらも参考にしてみて下さい。
今後もちょくちょくWriteup動画とかを上げていくので、よければチャンネル登録お願いします。

【CTF】Beginners CTF 2018 Misc "plain mail" Writeup


解答

問題文にリンクが貼られているので、そこからファイルを落とします。

落ちてきたファイルを"file"コマンドで調べると

packet.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)

と表示されることから、pcapファイル(パケットをキャプチャしたファイル)であることが分かります。
pcapファイルなので、一旦wiresharkで開いて中身を確認します。

すると、3つのメールを送っていることが分かり、それぞれの内容は以下のようになっています。

  1. 1通目:「最初に暗号ファイルを送って、2通目にパスワードを送るよ」的なメール
  2. 2通目:ZIPファイルが添付されている
  3. 3通目:ZIPファイルを解凍するためのパスワード

社会人の方とかでしたら、よく業務でも利用しているのではないでしょうか。
あの全然、セキュアじゃないセキュリティ対策のあれです。
※私個人はあの対策だけでは意味がないと個人的には考えています。あくまで個人の考えです。

ZIPファイルが添付されたメール解凍に必要なパスワードも手に入ったので、
あとは以下手順で解凍を行います。

  1. "TCPストリーム"機能を使って2通目のメールを抽出
  2. 抽出したメールをメールクライアントで開いて添付ファイルを保存
  3. 3通目のメールで得たパスワードを利用して解凍

ZIPファイルを解凍すると、"flag.txt"が出てきます。そのファイルの中にflagが記載されています。

ctf4b{email_with_encrypted_file}


以上となります!

【Writeup】BeginnersCTF Web "Greeting"

はじめに

BeginnersCTF 2018のWeb問題の(恐らく)一番簡単な"Greeting"のWriteupです。

Writeup動画を以下に上げていますので、分かりづらければそちらも参考にしてみて下さい。
今後もちょくちょくWriteup動画とかを上げていくので、よければチャンネル登録お願いします。

【Writeup動画】#2 Beginners CTF Web問題 "Greeting"をやってみた。

問題

[Warmup] Greeting
ようこそ!
http://greeting.chall.beginners.seccon.jp

解答

Web周りはちゃんと学んだことがないのですが、すごく、簡単です。たぶん。

入力欄の下に、怪しげなPHPが記載されています。
恐らく、入力した後に実行されるのでしょう。

PHPのコードを読んでみると、以下のように条件分岐が分かります。

  • "$username""admin"だった場合は、"$username""偽管理者"を代入します。
  • 上記の条件に当てはまらなかった場合でかつ、cookie"name"に値が入っているときは、"$username"cookie"name"を代入します。
  • どれにも当てはまらなかった場合は、"$username""ゲスト"を代入します。

一旦、"admin"と入力して「名前を変更する」をクリックします。
すると、「偽管理者」としてログインされます。

この段階では、

$username = "偽管理者"

となり、cookieには、

name = "admin"

と、なっているはずです。いや、なっています。


ですので、この状態のままブラウザの戻るボタンを押すと、

$username = ""

の状態のまま、cookie

name = "admin"

の状態で読み込まれます。恐らく。


よって、条件分岐の真ん中が実行され、$username = "admin"となり、画面上部に
以下のフラグが表示されます。きっと。

ctf4b{w3lc0m3_TO_ctf4b_w3b_w0rd!!}


以上となります!

【Writeup】BeginnersCTF "Veni, vidi, vici"

はじめに

BeginnersCTFのCrypto問題"Veni, vidi, vici"のWriteupです。

恐らく、Crypto問題の中で一番簡単なやつかと。
※現時点で他問題はまだ取り組んでいません。。。


Writeup動画を以下に上げていますので、
説明で分かりづらい方はそちらをみてみて下さい。
今後もちょくちょくWriteup動画とかを上げていくので、
よければチャンネル登録お願いします。


【Writeup動画】BeginnersCTF Crypto "Veni, vidi, vici"




解答

問題文には上記リンクが貼られているだけなので、一先ずリンクをクリックします。
クリックすると以下ファイルのダウンロードが始まるので、解答します。


ファイル名:veni_vidi_vici_e95fe3cb7932bfe5c017f018940652d0c0876fc8.zip


解答すると、"part1"と"part2"、"part3"が出てきて、それぞれの中身は以下のようになっています。

  • part1

Gur svefg cneg bs gur synt vf: pgs4o{a0zber

  • part2

Lzw kwugfv hsjl gx lzw xdsy ak: _uDskk!usd_u

  • part3

{ʎɥdɐɹɓ0ʇdʎᴚ :sı ɓɐlɟ ǝɥʇ ɟo ʇɹɐd pɹıɥʇ ǝɥ⊥

ぱっと見で、part1とpart2は「換字式暗号」っぽいので、quipqiup - cryptoquip and cryptogram solverで復号を試みます。
以下が復号結果です。

  • part1(復号後)

The first part of the flag is: ctf4d{n0more

  • part2(復号後)

The second part of the flag is: _cLass!cal_c


part3は字が逆さまになってるだけっぽいので、アナログな方法で。

  • part3(復号?後)

The third part of the flag is: Rypt0graphy}


復号したのを確認すると、フラグが3分割されているので全部結合すると、

ctf4d{n0more_cLass!cal_cRypt0graphy}

VirtualBox上にKaliLinuxインストールしてみた

どうも!じっきーです!

今回は気分でVirtualBox上に"KaliLinux"をインストールしてみましたので、 インストール手順とかを簡単にまとめます。

また、分かりやすいように動画にもまとめていますので、 そちらも参考にして頂けるとうれしいです。

【手順】仮想環境にKaliLinuxをインストールしてみた

KaliLinuxとは

簡単に説明すると、セキュリティ診断ペネトレーションテストで利用するツールがデフォルトで用意されているOSです。 ちなみに、DebianベースのLinuxディストリビューションです。

インストール手順

OVAファイルの入手

今回、ISOイメージから導入しようと考えていたのですが、
ISOイメージを読み込ませ”Graphical install”を選択すると、
なぜかUanable to bootと表示され、インストールできませんでした。
※原因分かる方、ご教示頂けますと幸いです。

軽く調べてみると、原因については明記されていませんでしたが、 どうやら、VMwareVirtualBoxだと、KaliLinuxをISOイメージからうまくインストールできないらしいです。

まぁ、ISOイメージからの導入にこだわる理由はなかったので、
今回はOVAファイルを利用します。

KaliLinuxのOVAファイルは、"VMware"と"VirtualBox"と"Hyper-V"に対応しているものを
それぞれ、以下URL先にて配布しています。
Kali Linux Downloads – Virtual Images

約3GBくらいの容量があるので、そのままダウンロードすると、僕の場合は1,2時間かかりましたが、 なります。 torrentとかを選択すればもう少しは速いかもしれません。

OVAファイルのインポート(仮想マシンのデプロイ)

OVAファイルを無事ダウンロードできたら、次はそのOVAファイルのインポートを行います。

手順としてはとても簡単で、

  1. VirtualBoxを起動
  2. [ファイル] → [仮想アプライアンスのインポート]

を選択します。
※"Ctrl" + "I"でも可能

そしたら、「仮想アプライアンスのインポート」ウィンドウが表示されるので、
先ほどダウンロードしたOVAファイルを選択し、"次へ"をクリックします。

仮想アプライアンスの設定内容が表示されるので、軽く確認し、
NICMACアドレスを初期化したいのであれば、チェックボックにチェックを付け、
"インポート"をクリックします。
※僕はMACアドレスの初期化は行いませんでした。

そうすると、約数分ほどで、OVAファイルのインポートが完了し、仮想マシンがデプロイされているはずです。

Kali Linuxの起動

デプロイした仮想マシンをダブルクリックすれば、仮想マシンが起動します。
上記URLにて配布しているOVAファイルでは、すでにユーザ設定が完了しており、
ユーザ名:root
パスワード:toor
でログイン可能になります。

これで、KaliLinuxのインストールは完了となります。