＿人人人人人人人人人人＿ 
＞　突然の100個のssh　＜
 ￣Y^Y^Y^Y^Y^Y^Y^Y^Y￣

オープンソースカンファレンスは、オープンソースの今を伝えるイベントで、オープンソース関連のコミュニティや協賛企業・後援団体による、セミナーやプロダクトの展示などを入場・参加料が無料でご覧いただけるイベントです。

春に続き、今回の秋も行ってみました。やっぱ楽しい!
そしてまた沢山ノベルティを頂いてしまった(ありがてぇ・・)

特に面白かった物/興味深かったもの

• #aozorahack

何の気なしに利用させて頂いていた青空文庫なんですが、実は裏側ではきちんと構成管理されているそうです。
でも、機器老朽化により、いつ飛んでもおかしくない状況だったそうで、いま一生懸命サーバ保護と移転作業をしているそうです。
さらに、もっと面白くしたいという思いがあるそうで、そんな強い情熱を感じました。
興味のある方は参加してみては。

• LibreOffice

あのLibreOfficeですが、なんとオンライン版を作っているそうですよ・・・！

http://www.ospn.jp/

nmapの調査結果(?)から確認することができます。
ワンライナーでいける。

$ curl -s https://svn.nmap.org/nmap/nmap-services|grep '^[a-z].*[0-9]*\/tcp' nmap-services  |sort -nr -k 3 | head -10
http    80/tcp  0.484143        # World Wide Web HTTP
telnet  23/tcp  0.221265
https   443/tcp 0.208669        # secure http (SSL)
ftp     21/tcp  0.197667        # File Transfer [Control]
ssh     22/tcp  0.182286        # Secure Shell Login
smtp    25/tcp  0.131314        # Simple Mail Transfer
ms-wbt-server   3389/tcp        0.083904        # Microsoft Remote Display Protocol (aka ms-term-serv, microsoft-rdp)
pop3    110/tcp 0.077142        # PostOffice V.3
microsoft-ds    445/tcp 0.056944        # SMB directly over IP
netbios-ssn     139/tcp 0.050809        # NETBIOS Session Service

ちなみに、ポートスキャンは、この上位10ポートをスキャンすると、全体の50%をカバーできるんだそうで、ポート番号を総ナメしなくても、それなりに判っちゃうらしい。

ちょっと思うところがあって、調べてみました。

CTFでzlib圧縮部分に気づかずに、解けなかった問題が過去２問あって、
これはいかんと思いました(小並感)。

zlib圧縮部分って、マジックナンバーが定まっているわけじゃなくて、目grepでもすごく判別しにくい。
しかも、fileコマンドでも、tridでも、判らないんだよね。

バイナリからzlib圧縮データを探す
http://teraapi.blogspot.jp/2012/05/zlib.html

よくある： 
78 01, 78 5e, 78 9c, 78 da 

稀 ：
08 1d, 08 5b, 08 99, 08 d7, 18 19, 18 57, 18 95, 18 d3, 
28 15, 28 53, 28 91, 28 cf, 38 11, 38 4f, 38 8d, 38 cb, 
48 0d, 48 4b, 48 89, 48 c7, 58 09, 58 47, 58 85, 58 c3, 
68 05, 68 43, 68 81, 68 de 

極稀：
08 3c, 08 7a, 08 b8, 08 f6, 18 38, 18 76, 18 b4, 18 f2, 
28 34, 28 72, 28 b0, 28 ee, 38 30, 38 6e, 38 ac, 38 ea, 
48 2c, 48 6a, 48 a8, 48 e6, 58 28, 58 66, 58 a4, 58 e2, 
68 24, 68 62, 68 bf, 68 fd, 78 3f, 78 7d, 78 bb, 78 f9  

そこで、引数のファイルに含まれるzlib圧縮部分を抽出・展開してファイルに保存するツール作った。

CentOSで動作確認済み。Kali Linuxだとopensslでzlibのdecodeが出来なかったので、たぶん、Debian でも動かないかも。
まぁ、zpipeで代替すれば、どの環境でも行けるはず。
ちなみに、動作はめっちゃ遅い。

#!/bin/bash

# zlib_extraction.sh ver 1.3
# 引数のファイルに含まれるzlib圧縮部分を抽出・展開してファイルに保存する
# 2015.10.06 kanata 

while [ "$#" -gt 0 ]
do

if [ ! -f "${1}" ]
then
  echo "file open error ($1)"
  exit 1
fi

FILESIZE=`ls -l ${1}|awk '{print $5}'`
ZLIBPART="${1##*/}"
ZLIBPART="${ZLIBPART%.*}"
I="0"
FORK_COUNT="0"

  while [ "${I}" -lt "${FILESIZE}" ]
  do
    ZLIBPART_FILE="${ZLIBPART}_${I}.bin"
    ( cat ${1} | dd bs=1 skip=${I} | openssl zlib -d > ${ZLIBPART_FILE} 2>/dev/null ; if [ -s ${ZLIBPART_FILE} ] ; then file ${ZLIBPART_FILE} ; else rm -f ${ZLIBPART_FILE} ; fi )&

    # 並列実行時のサブシェルが増大していくのを抑止
    # 同時35多重までに抑止 25回に1度チェック ( 数値を弄ってチューニングできます )
    if [ $(( I % 25 )) -eq "0" ] ; then FORK_COUNT=`ps -u |fgrep -c ${0}` ; fi
    while  [ "${FORK_COUNT}" -gt "35" ] 
    do
      printf "[WARNING] SubProcess Exceed Limit. fork:%s offset:%s\n" ${FORK_COUNT} ${I}
      FORK_COUNT=`ps -u |fgrep -c ${0}`
    done

    I=$(( I + 1 ))
  done

shift
done

exit 0

遅かったので、処理を並列化したんだけど、その並列化を制御する処理自体がボトルネックになって、そんなに速くならなかった。微妙。

これでpdfとかswfとかから、データの抽出ができるハズ。

詳細：CTF Forensic

2016.8.3 追記
バージョンアップした。シリアル処理と並列処理を選択できるようにした。

CTF Forensic - 引数のファイルに含まれるzlib圧縮部分を抽出・展開してファイルに保存する

なんかとても気なる本が続々と！

[9/12]ハロー "Hello, World" OSと標準ライブラリのシゴトとしくみ
http://www.amazon.co.jp/dp/4798044784/

[9/30]セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-
http://www.amazon.co.jp/dp/4839956480/ref=cm_sw_r_tw_dp_Jpw-vb0XRB1Q4

[10/24]サイバーセキュリティプログラミング　――　Ｐｙｔｈｏｎで学ぶハッカーの思考
http://www.e-hon.ne.jp/bec/SA/Detail?refBook=978-4-87311-731-7&Rec_id=1010

シルバーウィークはこれを読むぞ～

コメント¶

『ハロー "Hello, World" OSと標準ライブラリのシゴトとしくみ』読み終わりました。
面白くて一気に読んでしまいました。

Latest Hacking Newsというサイト(全部英語だけど)があって、たまに
いろんなカンニングペーパーを公開してくれる。
たまに見ると新しいのが増えていて面白い。

自分が見つけた便利そうなのを一応紹介してみる。

Security Cheat Sheets for Ethical Hacking and Penetration Testing
https://www.latesthackingnews.com/security-cheat-sheets-for-ethical-hacking-and-penetration-testing/

Kali Linux Commands Cheat Sheet
https://www.latesthackingnews.com/kali-linux-commands-cheat-sheet/

Metasploit Cheat Sheet Free Download
https://www.latesthackingnews.com/metasploit-cheat-sheet-free-download/

ちなみに、便利そうとか言いながら、お世話になったことは、まだないのだけれど。

Microsoft Office 2013 で公式のパスワード解除ツールがあると聞いて
「何それ、公式で解除ツールを出してたら鍵かける意味無いじゃんwwww」
とか思ったけど、そんなことはなかった。そりゃそうだよね。。

こんな流れ

• 事前にレジストリに公開鍵を登録しておく
• Microsoft Office 2013 でパスワード設定
• パスワードを失念
• 公式のパスワード解除ツールでパスワードを解除（秘密鍵を使ってパスワード解除できる）

面白い仕組み。ただ事前に管理する全PCに公開鍵登録するのと、秘密鍵は個別に管理(漏れないように)しないと使えない。

参考¶

Office 2013 のファイルのパスワードを削除あるいはリセットします。
https://technet.microsoft.com/ja-jp/library/jj923033.aspx

[Office 2013]ファイルパスワードのエスクローキー機能
http://www.ka-net.org/blog/?p=2608

Word／Excelのパスワードによる保護では個人情報は守れません
http://www.atmarkit.co.jp/ait/articles/1506/16/news012.html

すみだセキュリティ勉強会2015#1 に参加以降、いくつか他の勉強会にも参加するようになりました。ありがとうございます。とても勉強になります！

• yasulibさん
  HTTP/2のヘッダインジェクションの話。HTTP/2が実装されているサーバはまだ少ないようですが、過去HTTPで発見された脆弱性はfixしてリリースされるといいですね。初物ってリスクあるから、今後に動向に注目。

• inaz2さん
  WinDbgキター。使ったこと無いので大変参考になりました。まずはOllyさんからですね。。ちなみに私もCUI派です。

• ozuma5119さん
  9100番をsshdポートに使うのは初耳でした！そして突然100個のsshd!ww。木を隠すなら森方式ですね。
  良いアイデアを頂きました。

こういう方式を思いついた。実装したい。

1.ポートスキャンを検知する(snortかなぁ、netstatかssで代用できないかな。。)
2.検知をトリガにして100個のDecoy sshd(囮)を立ち上げる。バナーは全部変えるか、全部統一する。
3.攻撃者が諦めて15分くらいしたら、100個のsshは落とす。

という訳でシェル芸をしてみる。
オライリー・ジャパンは、全書籍のタイトルと価格を1ページで公開しているのですぐ計算できる。

まず、何冊有るだろう？ワンライナーでいける。

$ curl -s  http://www.oreilly.co.jp/catalog/index.html|grep price|wc -l
420

20015.8.8現在 420点

全部合計した値段はいくらだろう！？
ちょっと無理してワンライナーで書いてみた。

$ curl -s  http://www.oreilly.co.jp/catalog/index.html|grep price|cut -d'>' -f9|cut -d' ' -f1|tr -d ',th<'|tr '\n' '+'|sed -e 's/$/0/g'|cut -c2-|bc
1442988

144万2988円也

意外に、安い。ような気がする。買わんけど。

定期観測¶

2015.10.21 再測定
429点 147万3228円也
やっぱり増えてますねぇ。
kanata が約9年前に追加

2016.4.24 再測定
444点 152万7228円也
着々と。
kanata がほぼ9年前に追加

2016.7.24 再測定
452点 155万3796円也

そう言えば最近、技術書展で、同社から刊行されているすべての電子書籍がDVDに収録したものを販売していました。
価格はなんと100万円！なので、55万3796円程お得になってたんですね!

参考:さくらのナレッジ - 日本の技術書コミュニティは熱いぞ！「技術書典」レポート
http://knowledge.sakura.ad.jp/event-seminar/5430/
kanata が約8年前に追加

2017.2.19 再測定
464点 159万4944円也
kanata が約8年前に追加

2017.4.9 再測定
467点 160万4880円也
kanata が4年以上前に追加

httpsになってました。

$ curl -s  https://www.oreilly.co.jp/catalog/index.html|grep price|wc -l
424
$ curl -s  https://www.oreilly.co.jp/catalog/index.html|grep price|cut -d'>' -f9|cut -d' ' -f1|tr -d ',th<'|tr '\n' '+'|sed -e 's/$/0/g'|cut -c2-|bc
1487420

2020.8.2 再測定
424点 148万7420円也

あれ、古いものは掲載しなくなったのかしら…