CTF初心者用リンク集
nori0__CTFで役に立ったサイトやツールをまとめておく。
nori0__環境構築
Windows環境での環境構築について
Linux
WSL2を使ってLinuxを動かす。
Linuxの方が優秀な分析ツールが多いとのこと。
WSLとwindows間のファイル連携
ツール
GUPアプリで快適にする
GIMPはグラフィックスエディター。pdfなどをみるのによい。
あとはLinux 向け Google ChromeやEdgeのインストール方法もある。
exeを実行する
Wine
Unix系OSでexeを実行できる
コマンド
ファイルの圧縮、解凍方法
strings 文字列見る
file ファイル詳細を見る
IMGファイルのマウントをする
バイナリを操作する
nori0__Windowsの便利ツール
PowerToys
Microsoft が開発するオープンソースのユーティリティソフトウェア。
Text Extractorを使って画像にある文字をテキストに変換した。楽ちん。
nori0__暗号化の問題や文字列をわたされたとき
エンコード・デコードしてみるのがよい。
DenCode
色々な種類のエンコード・デコードの結果を確認できる。
どれでデコードすると良いかわからないという時にとりあえず入れてみるのはあり。
CyberChef
Base64、URLエンコード、AES復号など200以上の変換方法が用意されていて、変換方法を組み合わせて多重変換できる。
gzip データを解凍したり、SHA3 ハッシュを作成したり、X.509 証明書を解析して情報を確認したりといった使い方も可能。
使い方はこの記事がわかりやすかった。
JWT.io
JWTはヘッダ、ペイロード、署名が「.」で区切られた文字列であり、それぞれBase64エンコードされているためBase64でデコードすることになる。
特にヘッダとペイロードの中身は、暗号化されていないためBase64デコードすれば内容を確認できる。
攻撃して学ぶJWT【ハンズオンあり】これもわかりやすかった。
opv86
x86_64アーキテクチャ命令を確認できる。
Intel SDMを見るより良いとのこと。
nori0__ネットワークの問題やpcapファイルを渡されたとき
Wireshark
表示画面の見方
ここがわかりやすかった。
TCP/IP階層モデルとパケットデータの関係が分かりやすい。
pcapファイルからWebページを復元
便利機能がまとまっている
パケットの内容をテキストやCSVに出力したりトラフィック量が多い時間帯を確認したりできることが多い。
pcapファイルの解析
ネットワークの問題でパケットデータを受け取った時、どんな解析をすればよいか迷ったとき見てた。
nori0__ファイルが渡されたとき
画像やディスクデータなどファイルを渡されたときに使うツールがまとまっている。
怪しげなファイルが渡されたとき
ファイル、ドメイン、IP、URL を分析してマルウェアやその他の侵害を検出できる。
ハッシュ値で確認することもできる。
オンラインスキャナー
ちなみにハッシュ値は、PowerShell の Get-FileHash コマンドレットで求めることができる。
nori0__プログラムの作成日を確認するとき
PEヘッダでビルドタイム記録を確認できる
PE View
PFファイルフォーマットについて
nori0__WebサイトのURLが渡されたとき
WebサイトのJavaScriptを編集して確認したいとき
ChromeDevtoolでJavaScriptを編集することが可能。
(あまりに無理矢理な解き方・・・)
ChromeでUserAgentを指定して確認したいとき
Google ChromeでUserAgentを変更する
Webサイトのアーカイブを調べる
Wayback Machine
インターネットアーカイブ(Internet Archive)が保存しているウェブサイトを閲覧できる。
過去のWebサイトを見ることが可能。