Blog

セキュリティ・キャンプのエントリーでは、例年性別情報が収集されています。 ただ、去年オンラインで参加した立場として、この情報は一体何に使われたんだ？と疑問に思っていました。 そこで、オンラインだと性別情報いらなくないですか？特に選考前にはいらないですよね？と問い合わせたところ、 これまで性別欄につきましては、性別に関係なくバランス良く応募者にご参加いただくための統計情報として、またリアル開催時は宿泊の部屋割りなどに配慮が必要であるため、使用しておりましたため、例年の応募内容と同様に募集を行っておりました。 今般のご意見を踏まえ、必要性について再考し上司と相談の上、本年度の応募内容の性別項目を削除することといたしました。 との回答をいただき、実際に設問をなくしていただくことができました。 問い合わせの際に、講師の Hikalium さんにアドバイスや手助けをしていただきました。改めてありがとうございました。 というわけで、後で統計用に性別情報が収集されるかもしれません。それはこういうわけなので、よろしくお願いします。 もう少し早めに投げた方がよかったというのはそうだと思います。遅くなってすいませんでした。

金曜日だし日付変わる前にツンツンしてみるか、と思ったらインターンが生えました。 実質月曜日からみたいなもんですね。はい。 ArkEdgeSpace のことは去年のセキュリティキャンプ期間中に知ったと記憶していて、 9月の説明会に参加したりしていたので、ざっくり半年くらいという感じですね。(ここに感情は入っていません) 半年近くクネクネしてて大変後悔していますが、覚悟決めて決まってしまえば (比較すれば) サクっと進んだので、 まあクネクネするより挑戦した方がいいんだなと思いました。 何やるかですが、何やるんですかね。説明会で言ってたあれとかこれをなんとかしていこうと思っています。 頑張るのでよろしくお願いします。

SecHack365 に応募しました。 テーマは迷惑メール対策的なものをやろうと思っています。 何人かに意見いただいて参考になりました。ありがとうございました。 通過するといいな、と思っています。

ねむい。寝不足です。 税金払った ちゃんと払いました。やったね。 郵送した 郵送しないといけないものがあったので郵便局へ。 最近は郵便局で電子マネーが使えて便利ですね。

秋葉原に行ってきました。4日連続ですね。GW 後半は秋葉原で過ごしたことになります。 仕事の話をした 引き続きよろしくお願いいたします。 最後の話 今日は最後ですね。最後で、最後です。(自分メモ) 税金払い忘れた 笑う。明日近くのコンビニで払います。

秋葉原に行ってきました。3日連続ですね。どうした？ 私は滅多に秋葉原に行かないので何年ぶりだ？という気分ですが、実は昨日も行っているのでだいたい1日ぶりでした。知ってた。 エンカウント ちょっと早めに秋葉原に向かっていたら sksat さんも秋葉原に向かっているのを発見しました。 今までお会いしたことがなかったので、次の予定までの30分くらい、ラジオデパート〜秋月あたりをブラブラしていました。 なんか筑波まわりの人みんな (n=2) 思ってたよりデカいなと思いました。私が小さいだけかもしれないですが。 いや筑波のキャンパスはデカいから必然なのかもしれないですね。(n=2 のくせに主語がデカい) カジュアル面談 昨日エンカウントし損ねた Aki＠めもおきば さんと Meety でカジュアル面談をしてきました。 SecHack365 に応募している立場なので、トレーナーの立場である Aki さんと今のタイミングでお話するのはマズいのかな〜と思っていたのですが、 ちゃんと問題ないように配慮していただいて、安心して楽しくお話することができました。 思い出せるうちにアウトラインをメモしておきます。 始めの方は私あんまり喋らなかったので (話の進め方とかを迷っていたりした)、思っていたことを書いていたりします。 ちょっと遅れそう 私も2分くらい遅れていたので問題なし 集合場所 事前に言っていた場所から 50m くらい離れた場所にしてしまった とりあえずそれなりに近い場所に行って位置情報を投げて相手に任せる方針にしたのでうまく気付けなかった そういえばいつも逆側だったな〜などと後で思いました。すいません。 呼び方の話 普通に本名で大丈夫です。私は多分いつも目の前の人の名前呼ばないので、いつも特に気にしない方針です。 SecHack の選考で有利にするなどはできない話 当然だしそういうのを期待して来たわけではないです。完全に話題触れないようにした方がいいかなと思っていたのですが、そこまではしなくてよいとのことだったのでちょっと嬉しかったです。 GW だから混んでる話 本当にいややね 私はソフトウェア屋さんなのであんまり秋葉原来ない話 諸説ある まあ行きやすいのでいつでも行けるは行けるんよ ここ最近は行きすぎ seccamp 関係の人とは秋葉原で会うことが多い話 オタク、秋葉原に集まりがち そういうイベントでつながりができるの嬉しい話 わかる、めちゃめちゃ有意義 私は初手でネクストに行った話 珍しいルートという話 いやでも去年は割と多かったような。それまでは知らない。 カフェに行く カフェは普通にデフォルトで会計別な気がするし、実際別でした。念のため。 普通に座れてよかった 私の雑な自己紹介 いつもよくわからない自己紹介をしてしまいがち 簡単に言うとただの学部生です。本当です。 LayerX の話 やることをちゃんとやっていて嬉しい話 ガードレール作ってる話 ガードレールって本当に嬉しくて、作業をするときに何をしても保護されているというのはかなり安心できるので心理的にとてもよいと思います 具体的な技術の突っ込んだ話 Terraform だけだと FaaS つらい話 Function をシンプルにしようとしてインフラが複雑になった方が確かにつらいかもな〜などと思っていた (つらいよ) インフラエンジニアの話 言葉が指す範囲が広すぎる話 初心者も入ってきていいと思ってる話 わかる。初心者排除したら衰退するだけでは？と思う 上のレイヤーは試しやすい、下の方は大変だったりするけど楽しい話 パブリッククラウドの話 3大パブリッククラウドの特性の話 個人でも使いやすい話 でもだいたいみんな3つともは使わないよねという話 CF, CFn, Lambda, Fargate, SQS, RDS, Aurora, DynamoDB, etc… がバンバン出てきて、普段学生同士ではこんな話しないのでとてもよかった Have a good day の話 国内の VPS 事業者とかが偉い話 さくらとか自分で設計して建ててて本当にすごいと思う Where の話 C 言語のキャリアを積めるとは思わなかった話 SORACOM の話 SORACOM がなかったら……の話 IoT の話 切り口がいろいろあって面白い話 Ruby on Rails の話 最近 Rails あんまり書いてない話 DSL つらい話 今までに見た最悪の Rails プロジェクトの話 実は始めのアイスブレイクとしてこの話をしようと思ってたけど、雑に振っても楽しそうに喋ってもらえたので後から拾った Perl の話 実は Raku (Perl 6) もうリリースされているかもしれない インターネットサービスプロバイダの話 Nuro は引けたらまあ割と嬉しい話 引くまでは地獄な話 私も引くまで結構時間かかった ひかり電話を SIP で使いたい話 フレッツは嫌な話 私もフレッツはなんか嫌、だけどうちには前の住人が置いていったフレッツ網のファイバーが壁まで残っているので契約しようかなと思ったり思わなかったり (ひかり電話目当て) インターネット老人会 基本的に自分が老人という話ですが、生まれる前の話もやっぱりあるなあと思っていました MSX の話 MSX はいつもゲーム機の文脈で出てくるのでゲーム機だと思っていた パソコン通信、安い専用線の話 私もダークファイバー引きたいな (何に使うんだ) テレホーダイ時代の話 PC98 シリーズの話 私はなんか PC9801 シリーズか何かのラップトップ使ったことあるけどそれとは全く違うものだったんだろうなと思っています (私のは Win2k とか入ってた) IRC とか NIFTY-Serve とかコミュニティの話 オートパイロットの話 今の人は Twitter クライアント書いてたりしてたし、人類いつもやること一緒か？ SecHack365 の話 やろうと思っている方向の話 なお、話し始める前に SecHack365 のテーマの話と明示して、変に有利になるアドバイスはもらわないようにしています 評価で重視する部分の話 他のテーマの話 あとなんだっけ 本当にいろいろ話した SecHack365 の話は、全体から考えると多分1割以下くらいじゃないかな？と思っています。 ご飯を食べる 普通においしかった 普通に会計は別。念のため。 ハンディターミナルのキーボードがパタパタ式でよかった あ、基本マスク着用、黙食でした。正しい。 楽しく仕事をしている人に囲まれたい話 (会社のメンバーもそうだけど) ここではそういう話ではない 「分かっている」話 笑顔の方が仕事のパフォーマンスが出ると思う。幸福は義務 (とまでは言わないけど、意識して幸福になることに十分メリットはあると思う)。 たまに技術関係ない人と雑談するのもメンタルによい話 心地いい居場所があるっていいよね〜 M1 Mac が偉い話 AArch64 バイナリが一般的になって嬉しい話 RPi4 買いたい話 もはや RPi4 と VSCode Remote Development で仕事できそうな話 軽いブラウザが欲しい話 知的な便秘の話 知的な下剤になろうと思った (下剤ではないやろ) ブラウザのタブを開きっぱなしにしてしまう話 閉じようと思っても増やしてしまう話 後で読むとかはだいたい見ない話 言っても開きっぱなしのタブもあんまり見ないでしょという話 喧嘩したときにタブ全部閉じられたことがある話 今まで聞いた中で一番つらいやつという話 当時はめちゃくちゃショックだったしそれ以降タブ閉じるようにしている話 不意に消える前に是非自分で閉じましょうという話 生活リズムの話 ちゃんと家から出る話 私は家から出ない話 おうち最高 車の話 半導体不足がつらい話 クレジットカードの話 あんまり見ないカードの話 海外旅行とかに行かないとほとんど意味がない話 こんなもんだっけ 8割かは分からないけど5割はカバーできたと思う 出発の時間 なるほど また来ます 帰ったら腰痛かったのでメッシュチェアを置いてほしい (無茶を言うな) 今日のことはパブリックにしていい話 問題がないように事前に事務局とかに根回しが済んでいる話 私に有利になるわけではない話 私としては、多少不利になる (気持ち厳し目に見られる) くらいは受け入れるつもりで話に来たので問題なし 締め切りまで頑張って書くぞ〜 お疲れさまです〜 口癖です お疲れさまではないんだよな SecHack365 に限らずこれからもよろしくお願いします 破棄された地下鉄路線です 車両を捜索してください 普段あんまり乗らない路線に乗るとちょっとテンションが上がる なんか今日カフェイン摂りすぎたかも。まあ許容範囲そう。 どこかで SpaceX って言ってたら本当にすいません (とても失礼)。...

秋葉原に行ってきました。2日連続ですね。なんで？ 私は滅多に秋葉原に行かないので何年ぶりだ？という気分ですが、実は昨日も行っているのでだいたい1日ぶりでした。なんで？ 買ったもの HDMI Type-A to Type-C 変換ケーブル 昨日買った HDMI Type-A to Type-C/Type-D 変換アダプタ、まあいらないことはないというか普通に使うんですが、普通に気軽に USB 給電しながら使いたいケースもあるよな……と思い、 変換ケーブルも買うことにしました。半分嘘です。普通に HDMI Type-C のディスプレイに接続するのに使います。昨日まとめて買えはそう。 欲しいなと思ったもの PD トリガーケーブル。いやでも 3.3/5/12V あたりなら ATX 電源使えば？の気持ちですし、それはそうと直流安定化電源1台くらいあってもいいよなの気持ちです。一旦スルー。 そもそも USB PD PPS ってそんなに安定してるんですかね？いろいろオシロで見てみても面白いかもしれませんね。 でもダイレクトチャージってマジ？時代は PD なんですかね…… いやでも、安定化電源は、ちょっとほしい。 エンカウント失敗 おっ Aki＠めもおきば さんアキバなのか〜 ……と思ったんですが今日は予定があるらしい。アポ取ってないので問題ないです。 さて、そろそろ帰りま〜す！ 秋葉原に行く機会なんてほとんどないので、まあ次来るのは早くて3ヶ月後とかでしょう。いやマジで。 またいつか〜 (タイトル……)

秋葉原に行ってきました。 私は滅多に秋葉原に行かないので何年ぶりだ？という気分ですが、実は先月も行っているのでだいたい1ヶ月ぶりでした。 買ったもの RaspberryPi Zero WH アキハバラ＠BEEP on Twitter で見かけてビビッと来たので購入。 ……というのも、RPi Zeroシリーズの在庫があった頃ってあんまり金銭的に余裕がなかったりして買えなかったんですよね。 これを逃がすと Raspberry Pi Zero 2 W に置き変わってしまいそうだと思っていて、 単純な処理をさせたいときとかに RPi Zero (無印) を使いたい！となったときにうまく入手できる保証がないなと思ったため、買っておこうと思いました。 あと、単純にモノとして面白くないですか？DRAM が Chip on chip になっていたり、WiFi アンテナがパターンのやつだったり、 そういう技術がこのサイズに集約されていて、かつ普通に Linux が動いたり……。 こんな小さい子が頑張っているのを見ると私も頑張らなければという気持ちになりますね！ (x86_64 がすごくないと言っているわけではありません) とりあえず、セキュアなスマートロックでも作りたいなと思っています。 市販品 (特にリモート操作) なんか怖くないですか？モータードライバの IO だけ生えたモジュールだけ売ってください…… HDMI Type-A to Type-D 変換ケーブル RPi4 は HDMI Type-D のポートが2つありますが、それに Type-A to Type-D 変換アダプタ (ケーブルがないやつ) を使うと、横幅の問題で1本しか接続できないんですよね。 そこで変換ケーブルを買いました。 HDMI Type-A to Type-C/Type-D 変換アダプタ RPi Zero にも RPi4 にも使えて便利〜と思って買ったのですが、T字型の変換アダプタで向きがアレだったため、RPi Zero だと USB と干渉しそうなことが判明……。 いやまあ GPIO から電源供給できるので問題はないです。というか USB Micro-B は電源としてあまり優秀ではないので。。。...

TsukuCTF ny_a です。ごめんなさい。 OSINT OSINT メインの CTF なのに OSINT 以外の Writeup を書いてしまって反省しています。 ちゃんと書くので許して。 今回は Google Lens 問が多かったようですね。 Google Lens については知っておりました。 知っていましたが、これだけ問題数があって、100点くらいの問題から500点くらいの問題まであります。 ということは、高得点の問題は多分 Google Lens でも一筋縄ではいかない問題なのでしょう。 きっと運営スタッフが何度も Lens で位置をズラしながら検索しても全く出なかったから高得点になっているに違いありません。 つまり、Lens の運命に託す時間があれば、なんとか言葉で表現して検索してみて、 1つでも多くの検索結果に目を通すのが最適解ということです。やる気が湧いてきました。 よし、頑張るぞ〜〜〜〜〜〜〜！！！！！！！！！！！！！！！！ というわけで、ひたすらキーワードを基にした画像検索と Google Maps の目 grep でのパワープレイの記録をお楽しみください。 ramen そのまま画像検索に投げてみるも、うまく見つからず。 というかキーワードが “soup” になってしまう。いや、気持ちは分かる。 インスタグラムのアカウントということなので、インスタ映えするラーメンを頑張って検索します。 「ラーメン インスタ」とかで検索したと思います。「ヤングコーン」とかもつけてみたけど出てこなかった記憶。 麺と同じような淡い黄色の、クリーミーそうなスープ。 これだけ麺と色が近かったら、麺もスープとの境界があまり認識できていないかもしれません。 それに加えてこの不透明度、こうなってしまうともう麺は溺れてし ……。 スープの色やヤングコーン、お皿などの特徴を目に焼きつけて、目 grep します。 すると、確かこの Instagrammer news が出てきました。ここに店の名前が書いてあるので、本店のアカウントを調べればいいです。 shop なるほど、イオンモールですね。 近くを通った2台の車のナンバーが、多分名古屋と滋賀。じゃあ滋賀のあたりですかね、知らんけど。 トヨタの入っているイオンで探して、草津が出てきました。 train 山手線と京浜東北線が併走している区間ですね。 あと山手線の方面表示が、電光掲示板の表示の方は隠れていなくて、 片方は東京・上野方面、もう片方は品川・渋谷方面と書かれていることが分かります。 ということは、東京〜品川の、両端を含まない区間ということが分かります。 あとは京浜東北線の快速が通過する駅は有楽町と新橋だけに絞ることができるので、 構内図を見ながら北改札などの特徴に合致するか調べます。 15:35 から京浜東北線が停車するということで、時刻表から絞るかなーと思ったのですが、 普通に2択になったので時刻表は見ませんでした。...

TsukuCTF ny_a です。182チーム中5位でした。 Web Logonly 解けませんでした。 デカいログを見てみると、214154行目に攻撃が成功しているという情報しかありませんでした。 Kali Linux は使ったことないな〜、ダウンロードも面倒だし、と思いググってみると、 kalilinux/wordlists リポジトリに rockyou というパスワードリストがあるようでした。サイズも十分大きいし、最終更新も8年前なのでバージョンの問題もなさそうです。 ungzip して214154行目の qwertzu で incorrect。別ファイルかなーと思い諦めました。 ちなみに、作問者さんに聞いてみた所想定解法っぽいですね。1つ古い？バージョンだと /dev/null が入っていないらしいです。なるほど。 guess 問題なのでエスパーすればよかったですね。 digits python の int() が int を返せば ok そうです。 ドキュメントを見るとアンダースコアを任意の位置に入れることができるようです。 1_1_1111111 Login SQLi ですか。普通にフレームワークを使ってバックエンドの開発をやっていると、そのような脆弱性を作り込むこともほぼないので、 攻撃方法についてはあまり詳しくなく……。調べながらクエリを投げたらログインできました。 Login2, Login3 解けませんでした。 同じようにログインはできましたが、あんまり攻撃するのも申し訳なくなってきたので諦めました。 バックエンドエンジニアにこんなことさせないで……と思いましたが、次までには解けるように練習しておきます。 Journey HTTP ステータスコードを見ろと言われたので見ると、Method not allowed。 OPTIONS の返答から一つずつ試していくと、CONNECT で referrer 関連のエラーメッセージが出ます。 curl -XCONNECT --referrer (railwaysのURL) とかするとフラグが得られます。 gyOTAKU 解けませんでした。 適当にローカルファイルを iframe に表示する HTML を書いて、適当に GitHub Pages にデプロイしてみたものの、キャッシュの問題か404……。 適当にローカルに nginx コンテナでサーバーを建ててみたものの、ディレクトリ一覧はなぜか表示されず。...