196の日記

セキュリティ系の勉強、その他開発メモとか雑談、忘れそうな計算式などを書き溜める場所になっています. githhubはUnity触っていた頃ものがメイン https://github.com/196kakinuma

ctf4b NEXT参加して来たよ

東京都立産業技術高等専門学校 品川キャンパスでSECCON Beginners NEXTと言うセミナーが開催されました。そんなにCTFに力を入れてやっているわけではないですが、上級者の方達はどんな思考で問題を解いているのか気になったので、ダメもとで申し込んだ結果参加できてしまいました。


やったこと

【Rev】
crackme系の問題を二問解説。

【Web+Pwn】
SECCON 2017 国内決勝で出題された問題を解説。



印象に残ったこと&感想等

【Rev】
片方は引数にフラグを入れて合っていたら正解と表示されるプログラム、もう一方はフォームが表示され同じくフラグを入力するプログラム。講義には僕は追いついていくことができませんでした。そのくらい知識不足。印象に残ったことは、RevはPlatform+Applicationの構成で問題が出され、アセンブリを読むだけではなくその構成を知っていることも正解にたどり着く近道と話していたこと。知って入れば読み飛ばすことができる部分が増えるので、その分早いし読み間違いも減る。後は、競プロをやると良いとも行ってました。講義を受けて得られたことは、問題を解く流れの把握ができたこと。



【Web+Pwn】
SoundCloudのようなページの自分たちの曲の再生数を伸ばすと言う問題。決勝の際はバグが多くてゲキ冷え問題だったらしい。とても謝っていた。こちらの講義は半分ハンズオンしながら解説の流れだったのでついて行けた。シェルを奪うところまでやったので、やはり楽しかった。得られたことしてはBurpSuiteを知れたこと(この時点で初心者です笑)。



感想

分かってはいたけどNEXTは自分には早い(と言うよりそんなにCTF練習してない)。だけども、今回は上級者さんの思考を知るという目的のもと参加したので、意味はあったと思っている。ツールの使い方とそもそものツールの存在すら把握してないものがたくさんあるので、本格的にやり始めるならそこからかなと。あと初めは自分の守備範囲は絞ったほうがいいですねやっぱり。次参加させてもらうときは普通のビギナーに参加させてもらうと思います!