8月 25

Amap オプションメモ

今更ながらですが、オープンポートやポートなどの応答からアプリケーションマッピングを
行なうツールである「Amap」のオプションメモを作ってみました。
# 文章中にでてくるトリガー(trigger)というのは送信するパケット情報のことをそう呼んでいるのだと思います。

公式サイトはこちらContinue reading

Category: memo, tool | Amap オプションメモ はコメントを受け付けていません
8月 24

mdd オプションメモ

Windowsのメモリダンプを取得するツール[mdd]のオプションメモです。
[win32dd]よりもダンプする速度が速いと思います。
オプションも簡潔ですので個人的にはこちらが手っ取り早くお勧めです。
メモリダンプ取得の進捗がタイトルバーに表示されるところも好感度が高いです。

公式サイトはこちら

Usage:mdd <-o OUTPUTFILE> [-qvcw]

オプション 効果
 -o OUTPUTFILE  
 出力するメモリダンプファイル名を指定。
 
 -q  
 エラー以外の出力を表示しない。
 
 -v  
 冗長モード。マッピングの失敗したオフセットを表示。
 
 -w  
 GPLのための再分配状態。
 
 -q  
 GPLのための保証内容。
 

メモリダンプ取得例
Continue reading

Category: forensic, memo | mdd オプションメモ はコメントを受け付けていません
8月 20

Linux Kernel の sock_sendpage() におけるNull Pointor参照外しの脆弱性検証メモ

Linux Kernelのsock_sendpage()におけるNull Pointor参照外しの脆弱性の検証を行いました。
検証を行った対象OSは。
Ubuntu 9.04(2.6.28-11-generic)
RedHat EL 5(2.6.18.8.el5)
です。

この脆弱性を利用することで一般ユーザからrootへと権限昇格を行うことが可能であるか否かの検証結果は以下の通りです。 Continue reading

Category: exploit | Linux Kernel の sock_sendpage() におけるNull Pointor参照外しの脆弱性検証メモ はコメントを受け付けていません
8月 20

snort の threshold.conf [threshold] メモ

[snort]を運用していると、度々、報告されるアラートの中には出力回数を制限したいと思うものがでてくると思います。
残念ながら[snort]のシグネチャのみではこの出力回数制限を行うことはできません。
そこで[snort]では、シグネチャとは別に[threshold.conf]の[threshold]を利用することで可能となります。
Continue reading

Category: memo, packet | snort の threshold.conf [threshold] メモ はコメントを受け付けていません
8月 16

win32dd v1.2.2.20090608 オプションメモ

Windowsのメモリダンプを取得するツール[win32dd v1.2.2.20090608]のオプションメモです。

公式サイトはこちら

Usage:win32dd.exe [option] [output path]

キャプチャ停止条件関連
オプション 効果
 -r  
 生のメモリダンプ、スナップショットを作成。ダンプファイル名を指定。
 
 -l  
 マッピングレベルを指定([-r]と共に使用)
 
0  
 \\Device\\PhysicalMemory deviceを開く。
 
1  
 Kernel API MmMapIoSpace()を使う。
 
 -d  
 フルメモリダンプを取得。ダンプファイル名を指定。
 
 -t  MSTFダンプタイプを指定([-d]と共に使用)
 
0  
 オリジナルのMmPhysicalMemoryBlock。
 
1  
 MmPhysicalMemoryBlock。(PFN0を含む)
 
 -h  
 ヘルプを表示。
 

メモリダンプ取得例
Continue reading

Category: forensic, memo | win32dd v1.2.2.20090608 オプションメモ はコメントを受け付けていません
8月 13

PacketLife.net

以前からちょくちょく利用しているサイトの紹介です。

PacketLife.netというサイトなのですが、色々なプロトコルのキャプチャファイルやキャプチャソフトのフィルタルールから物理的なインターフェイスに関するチートシートまで、パケットに関する情報が満載のサイトです。

個人的には日常使いそうなチートシートを印刷して自分のデスク近辺に貼り付けたりしています。
便利なだけでなく、それだけでテンションが上がります。

人間って不思議なものですね。

Category: site | PacketLife.net はコメントを受け付けていません
8月 12

WordPressのリモートからパスワードをリセットされる脆弱性

WordPress 2.8.3以下のバージョンが影響を受けるとされているパスワードリセットの脆弱性の検証を行いました。

攻撃方法としてはブラウザから細工したリクエストを送信すると以下のような画面が表示されます。
# 攻撃を成立させる方法としてはブラウザでなければならないという意味ではありません。
wp-reset
この結果、WordPress用のデータベースに登録されている一番上のユーザのパスワードがリセットされるという事象が発生します。
以下はリセットする攻撃を行う前と後のデータベースの内容です。
Continue reading

Category: exploit | WordPressのリモートからパスワードをリセットされる脆弱性 はコメントを受け付けていません
8月 12

oinkmasterでのEmerging Threatsルール追加メモ

[Snort]のルールは、公式サイト以外のサイトでも配布されています。
そのサイトの一つに[Emerging Threats](以下、[ET])というサイトがあります。
このメモは[ET]のルールも[oinkmaster]を使って自動アップデートするためのメモです。
Continue reading

Category: memo | oinkmasterでのEmerging Threatsルール追加メモ はコメントを受け付けていません