- UiPath
/5.0
/install/Extention
/Edge (1477d)
- 2021-01-28 (Thu) 23:34:42 by ujpblog
※現在(2021/01/28)は提供されてないようです.
- 2021-01-28 (Thu) 23:34:42 by ujpblog
- logmonInstall (1624d)
- 2020-09-04 (Fri) 00:52:14 by nobuaki
- 2020-09-04 (Fri) 00:52:14 by nobuaki
- MacOSX
/HigiSierra
/OSXserverHttpChangePort (1640d)
- 2020-08-19 (Wed) 00:16:55 by nobuaki
http://localhost/ #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7465&macOSServer1.jpg,center)
gaia:~ ujpadmin$ gaia:~ ujpadmin$
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7466&macOSServer2.jpg,center)
変更後のポートに接続できました.
- 2020-08-19 (Wed) 00:16:55 by nobuaki
- MacOS X
/ElCapitan
/OSXserverHttpChangePort (1641d)
- 2020-08-17 (Mon) 17:17:49 by nobuaki
> /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf.20160718🆑 kairos:~ ujpadmin$ diff /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf.20160718 \ > /Library/Server/Web/Config/Proxy/apache_serviceproxy.conf🆑 kairos:~ ujpadmin$ sudo killall httpd🆑 kairos:~ ujpadmin$ !ps🆑 0 34001 1 0 10:33PM ?? 0:00.19 /usr/sbin/httpd -D FOREGROUND -f /Library/Server/Web/Config/Proxy/ apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log apache_serviceproxy.conf -E /private/var/log/apache2/service_proxy_error.log
http://192.168.20.27:8081
- 2020-08-17 (Mon) 17:17:49 by nobuaki
- MacOSX
/HigiSierra
/snmpd (1643d)
- 2020-08-16 (Sun) 02:12:00 by nobuaki
Disabledになっているので,起動してないのかな.
- 2020-08-16 (Sun) 02:12:00 by nobuaki
- Hardware
/Network
/NetgearWA510
/Hardware
/Network
/NetgearWA510
/1
/Insight (1643d)
- 2020-08-16 (Sun) 01:55:35 by nobuaki
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7426&Netgear_Insight-03.jpg,center)
- 2020-08-16 (Sun) 01:55:35 by nobuaki
- Hardware
/Network
/NetgearWA510
/Hardware
/Network
/NetgearWA510
/0
/OpenPackage (1643d)
- 2020-08-16 (Sun) 00:28:48 by nobuaki
このルータはPoEに対応しているので,デフォルトではACアダプタが付いてないから,買うときに一緒に注文することを忘れないように.
- 2020-08-16 (Sun) 00:28:48 by nobuaki
- MacOSX
/HigiSierra
/mrtg (1648d)
- 2020-08-11 (Tue) 01:14:11 by nobuaki
番外
こんなエラーがでるとき.
$ mrtg mrtg.cfg Subroutine SNMP_Session::pack_sockaddr_in6 redefined at /System/Library/Perl/5.18/Exporter.pm line 66. at /usr/local/bin/../lib/mrtg2/SNMP_Session.pm line 149. Subroutine SNMPv1_Session::pack_sockaddr_in6 redefined at /System/Library/Perl/5.18/Exporter.pm line 66. at /usr/local/bin/../lib/mrtg2/SNMP_Session.pm line 604. 2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup could not read the primary log file for gaia_lan 2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup The backup log file for gaia_lan was invalid as well 2020-08-11 00:55:54, Rateup WARNING: /usr/local/bin/rateup Can't rename gaia_lan.log to gaia_lan.old updating log file $
vi /usr/bin/mrtgで開いて,次のように書き換える.
変更前:import Socket6 変更後:Socket6->import(qw(inet_pton getaddrinfo));
次に,vi /usr/local/bin/../lib/mrtg2/SNMP_Session.pm で
変更前:if (eval {local $SIG{__DIE__};require Socket6;} && 変更後:if (eval {local $SIG{__DIE__};Socket6->import(qw(inet_pton getaddrinfo));} &&
原因は,Perlのバージョンアップとのこと.
- 2020-08-11 (Tue) 01:14:11 by nobuaki
- Windows10
/NetworkMonitor3.4 (1654d)
- 2020-08-05 (Wed) 00:56:58 by nobuaki
- 2020-08-05 (Wed) 00:56:58 by nobuaki
- Maltego
/4.2.9
/01
/Maltegoで迷惑メールを可視化してみる2020.06.19版 (1697d)
- 2020-06-23 (Tue) 01:23:38 by nobuaki
読み取れる情報の確認
今回来たフィッシングメール. 楽天市場カスタマーを騙っているが,返信先のinforというのは正当なメールアドレスなのだろうか. 日本語もおかしい.「これは、カードが期限切れになったか。請求先住所が変更されたなど」とある.句読点に違和感があるので,わかりやすい.
そして電話番号も記載されている点が,最近受け取ったフィッシングメールの中にない特徴.
まずメールヘッダを確認.ご丁寧に,該当のメールアドレスはmyspaceから流出したものなので,それが記載されている. そのほかは,メールサーバのIPアドレスなどが見て取れる. 本文には,フィッシング先のURLが記載. 楽天のURLに見せかけて,結局.xyzになっているよくあるパターン.スマホのブラウザでみると,先頭の文字しか表示されなかったりすることを利用した詐欺.
もう1つURLが存在しているが,これはユーザ識別のためと思われるパラメータがついているので,メール配信サービスを利用しているのかと想像.
調査
まずは仕入れたIPアドレスからAbuseIPDBで確認.
半数以上は,問題のあるIPアドレスだとされている. メールを配信したサーバにアクセスして見たけれど,ここは404で何も用意されてない模様. 今回はRobotexというサイトを使ってFQDNを調査.実際に割り当てられているIPアドレスが確認できた. また,これも今回初めてaguseというサイトを利用. ドメインがまだ取得されてから1ヶ月程度であることがわかるけれど,それ以上の情報は今回は取れなかった.
Maltegoを使って,VirusTotalでチェックを実行すると,IPアドレスに対して複数のハッシュ値が. それらを展開すると,見るも無残に... そして電話番号をGoogleで検索すると,なりすまし詐欺メールという情報が次々と出てきます.この電話番号は使われてないのだろうなぁ.
- 2020-06-23 (Tue) 01:23:38 by nobuaki
- Maltego
/4.2.9
/01
/Maltegoで迷惑メールを可視化してみる2020.06.18版 (1702d)
- 2020-06-18 (Thu) 01:47:50 by nobuaki
今回の最初の調査対象は,誘導先のメールアドレスと,メールアドレス. このメールアドレスの途中に+があるのは,特徴出来だな.(Googleのサブメールアドレス取得の手法) そしてこのメールの文章は,何を示しているのかDeepLで翻訳.ちょっと何言っているのか,わかりません. まずは,メールの返信先のMXレコードを調査.Google[.]comなのでGmailを使っている模様. 誘導先のWebサイト.該当のIPアドレスには,複数のドメインが割り当てられていて,その一部にマルウェアがあると表示されている. ハッシュ値を調べると,いくつかのセキュリティベンダでの評価が. 詳細を確認するために,VirusTotalのサイトを確認したが,73分の5なので,悪いと言い切れないか. 通信先(C2サーバか,リフレクション攻撃先か)にあたるIPアドレスが出ていたので,調査. これもGoogleでした.172で始まるのでついつい,プライベートアドレスかな?って誤認識してしまう. 次にメールヘッダを確認してみたが,これもGmailで利用されているメールサーバなので,怪しいわけではない. そして誘導先のサイトに行ってみた. フランス語で,ノーコメントと書かれているけれど,すぐ転送されちゃうね.Googleの検索ページに.これは封鎖されているからと考えている.
- 2020-06-18 (Thu) 01:47:50 by nobuaki
- WireShark
/3.2.4
/install
/windows10 (1703d)
- 2020-06-17 (Wed) 00:23:41 by nobuaki ページ内コンテンツ
- Windows 10にWireshark 3.2.4をインストールする
- 入手
- インストール手順
- インストール確認
Windows 10にWireshark 3.2.4をインストールする
ネットワークアナライザーツールといえば最近はこのWiresharkを使うことが多い模様.昔は,Snifferやtcpdumpを使っていたけれど,このWiresharkはGUI部分で,データのキャプチャはその他のツールを使う. このドキュメントを作っている時点で,このツールについては詳しくないのだけれど,Wiresharkだけではデータの取りこぼしもあるので,ネットワークキャプチャは,それぞれまた別のツールを選択することもある模様. 今回の手順では,NpcapとUSBPcapのインストールも行う.
入手
アプリは,公式サイトからダウンロードできる.
WindowsやmacOSも選べる. インストールしたい対象のOSをクリックするとダウンロードできる.
インストール手順
入手したインストーラを実行するだけでよい.
TSharkというのは,コマンドライン版だということ. Plugins & Extensionsに何があるか確認する. Toolsの中身を確認. AndroiddumpとかSshdumpなどはちょっと興味があるが,今回は気にしない. Npcapはインストールする. USBPcapもインストールする. ファイルのコピーが始まる. まずは,Npcapのライセンスの確認. WiFiのキャプチャをしたいので,これを選択. 成功. Npcapのインストールは完了. 次は,USBPcapのインストール. USBPcapのインストールも完了. Wiresharkのインストールは完了. OSのリブートが必要.
インストール確認
OSを再起動後,Wiresharkがインストールされて正常に動作するか確認.
スタートメニューにアイコンの追加を確認. 問題なく起動した.
- Windows 10にWireshark 3.2.4をインストールする
- 2020-06-17 (Wed) 00:23:41 by nobuaki
- Maltego
/4.2.9
/01
/Maltegoで迷惑メールを可視化してみる2020.06.06版 (1713d)
- 2020-06-06 (Sat) 21:08:52 by nobuaki
数あるドメインのうちで,1つを適当にピックアップしてWebサイトがあることを確認.
検出されたFQDNは,ベトナムのセキュリティベンチャー会社CyRadarから疑わしいサイトとして評価されている模様.
フィッシングサイトにアクセスしてみる
迷惑メール到着ほやほやなので,フィッシングサイトにアクセスしてみた. よくある典型的なログインサイトを模したものになっている.
存在しなさそうな適当なメールアドレスを入力. パスワードも適当に入力. ログインできました.
そして個人情報を投入しろという画面になる.
よくみると,お届け先がアメリカになっている... 今回はChromiumを使っているのだけれど,サイトのソースコードを表示. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7260&MeiwakuMail20200606_13.png,center) アマゾンのロゴのファイルが登録されている.これは本物を登用したに違いない.
back.pngという画像を確認.
ログイン画面の後ろに表示されているものが1枚の画像になっている.
この画像も日本向け. 気になったのがこのURL. このs.amazon-adsystem.comを調査すると,アマゾンの正式な広告サイトの模様.
この広告IDを調査すれば,犯人のたどり着けるかもしれない...ただの偽装かもしれないが,つまりフィッシングサイトを見るだけで犯人に広告収入が入る可能性があるのかと.
- 2020-06-06 (Sat) 21:08:52 by nobuaki
- Maltego
/4.2.9
/01
/20200603
/VirusTotal (1716d)
- 2020-06-04 (Thu) 01:05:56 by nobuaki
試しに,VirusTotalのサイトでハッシュ値を検索. 該当の危ないサイトを確認してみる. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7245&MaltegoVirustotal12.png,center,mw:600,mh:600) よくある,目的が微妙な比較サイト.
少し不自然なのは,AdSenseなどの広告などがついていなかったり,プライバシーポリシー等の記載もない.
改めて,ドメインからわかる情報を可視化.
GMOインターネットでドメインを取得したことはわかる. 2019年12月3日には,このIPアドレスを使っていることもわかる. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7244&MaltegoVirustotal15.png,center,mw:600,mh:600) IPアドレスから調べると,アメリカのさくらインターネットのような格安ホスティング業者のlinodeが出てきた.
総評
表面上,問題ないサイトに見えて,そのサイトはもしかして重要なものを隠蔽して飄々としている仮面サイトかもしれないし,普通に脆弱性の問題によって乗っ取られているだけかもしれない.
今回の場合,Webで見ることのできる情報にあるべきものが一つもなくて何のために構築されたサイトかもわからないので,裏で何か不穏なものが稼働している気配があるので,これは悪性サイトなのだろうと判断できる.
ということで,初めてアクセスするサイトは,VirusTotalでチェックすべき.できないか.
- 2020-06-04 (Thu) 01:05:56 by nobuaki
- Maltego
/4.2.9
/01
/Maltegoで迷惑メールを可視化してみる2020.05.31版 (1719d)
- 2020-06-01 (Mon) 01:49:23 by nobuaki
先日と同じ,ルイ・ヴィトンの安売りの迷惑メールが来た.前回はメール到着後,半日程度経って気づいていたので,分析を始めたらサイトが止められていて,そこまでだったので,今回はもっと速く分析してみようとチャレンジしてみた.
迷惑メールの中身
こんなメール.
以前分析したものと文面も商品も同じ. サブジェクトとメアドと誘導されるメールアドレスも同じ.DKIMとDomainKeyが設定されていることも確認.
商品の価格も一緒だったけれど,リンク先のドメインが異なることを確認.ちなみに,前回とは違うメアドに来たのだけれど,URLパラメータは一部異なっていた.個体判定なのかもしれない.
分析してみる
まず,メールを送信して来たメアドについて流出したものかどうかを確認.
流出の事実はないので,乗っ取られたことでもないようだ. その他の属性を確認.蹴っ翌サイトは404エラーになっているし,数値で適当に取られたドメインで,GoDaddyやdomainbyorixyなど,同じ手口であることが判明.
扱っている素材がルイ・ヴィトンだからか,ロックダウンまでの時間がとても短く素早く対応されていることがわかる.
- 2020-06-01 (Mon) 01:49:23 by nobuaki
- Maltego
/4.2.9
/01
/Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜 (1719d)
- 2020-05-31 (Sun) 21:37:31 by nobuaki
Maltegoで迷惑メールを可視化してみる2020.05.30版〜Myspaceから流出したメアドに来た迷惑メールを追跡する〜
どのようなメールがきたか確認.
- 2020-05-31 (Sun) 21:37:31 by nobuaki
- macOS
/Gatekeeper (1721d)
- 2020-05-29 (Fri) 16:39:32 by nobuaki
インストールしたMac Appの開発元を確認する
すでにインストールされているアプリが,Appleに証明されているか確認する.
調べたいアプリを,codesignコマンドで指定する.
まずは,App Storeからインストールした,Monosnapを.
$ codesign --display -vvv /Applications/Monosnap.app🆑 Executable=/Applications/Monosnap.app/Contents/MacOS/Monosnap Identifier=com.monosnap.monosnap Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20200 size=58133 flags=0x200(kill) hashes=1809+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha256=03bb860ec5dfca4c5b75e649edf9554c60587adc Hash choices=sha256 CDHash=03bb860ec5dfca4c5b75e649edf9554c60587adc Signature size=4617 Authority=Apple Mac OS Application Signing🈁 Authority=Apple Worldwide Developer Relations Certification Authority Authority=Apple Root CA Info.plist entries=36 TeamIdentifier=8DEE75ARD7 Sealed Resources version=2 rules=13 files=427 Internal requirements count=1 size=224 $
次に,pkgファイルをダウンロードしてインストールしたMicrosoft Teamsを確認.
$ codesign --display -vvv /Applications/Microsoft\ Teams.app🆑 Executable=/Applications/Microsoft Teams.app/Contents/MacOS/Teams Identifier=com.microsoft.teams Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20500 size=383 flags=0x10000(runtime) hashes=3+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha1=de20994eafa3411c1c5e35679925ca09ec1a94c7 CandidateCDHash sha256=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8 Hash choices=sha1,sha256 CDHash=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8 Signature size=9061 Authority=Developer ID Application: Microsoft Corporation (UBF8T346G9)🈁 Authority=Developer ID Certification Authority Authority=Apple Root CA Timestamp=2020/04/02 7:48:09 Info.plist entries=18 TeamIdentifier=UBF8T346G9 Runtime Version=10.12.0 Sealed Resources version=2 rules=13 files=129 Internal requirements count=1 size=180 $
次に,OSに付属しているSafariを確認.
$ codesign --display -vvv /Applications/Safari.app🆑 Executable=/Applications/Safari.app/Contents/MacOS/Safari Identifier=com.apple.Safari Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20100 size=321 flags=0x2000(library-validation) hashes=3+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha256=ab20751f33bbb1371b91a81ea316e297901bcc3e Hash choices=sha256 CDHash=ab20751f33bbb1371b91a81ea316e297901bcc3e Signature size=4485 Authority=Software Signing Authority=Apple Code Signing Certification Authority🈁 Authority=Apple Root CA Info.plist entries=40 TeamIdentifier=not set Sealed Resources version=2 rules=13 files=1932 Internal requirements count=1 size=64 $
んー.どこ見れば良いのかよくわからん.今日はここまで.
- 2020-05-29 (Fri) 16:39:32 by nobuaki
- Windows10
/Sysinternals
/Autorun (1722d)
- 2020-05-29 (Fri) 01:29:55 by nobuaki
今回利用したのは,このバージョン.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7178&autorunsVersion.png,center)
2019年リリースのv13.96.
ページ内コンテンツ- Everythingタブを確認
- 差分比較
- VirusTotalとの連携
- Process Explorerとの連携
Everythingタブを確認
Autorunsには多くの情報が表示されているが,デフォルトで表示されているEverythingタブを確認してみる.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7078&autoruns04.png,center,mw:600,mh:600) たとえば,タスクスケジューラで何が登録されているか確認できる.
差分比較
autorunsを実行すると,現在の構成情報を収集しているが,この時の情報を保存する.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7177&autoruns05.png,center) FileメニューのSaveを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7176&autoruns06.png,center,mw:600,mh:600) 現在の状態をBefore.arnとしてとして保存する.
このあと,プログラムをインストールしたりOSアップデートを行いシステム構成に変化をつける.
その状態から,以前保存したbefore.arnファイルと比較を行う.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7175&autoruns07.png,center) Compareを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7174&Autoruns08.png,center) 変化点がないというエラーになる.
autorunsは,実行する都度,情報を収集するので,情報が更新されてない.
今回の場合,再度autorunsを実行する.autorunsを再起動すると,構成情報が再度収集される.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7173&autoruns09.png,center,mw:600,mh:600) 変化のあったファイルが確認できた.
この場合,Windowsの起動の際に自動的にプログラムが起動するよう設定してあることが確認できた.
VirusTotalとの連携
変化のあったファイルを,マルウェアかどうかチェックをする.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7172&autoruns10.png,center,mw:600,mh:600) ファイルを選択し,Check VirusToitalを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7171&autoruns11virustotal.png,center) #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7170&autoruns12resumeVireusTotal.png,center,mw:600,mh:600) #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7169&autoruns13ViruslTotalScore.png,center,mw:600,mh:600) #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7168&autoruns14VirusTotalSite.png,center,mw:600,mh:600) Webブラウザが開き,VirusTotalのサイトにアクセスされる.
Process Explorerとの連携
同じSysinternalsで提供されている,Process Explorerと連携させることができる.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7167&autoruns15ProcessExplorer.png,center) ただし,Process Explorerを予め起動しておく必要がある. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7166&autoruns16processExplorer.png,center,mw:600,mh:600) 起動した状態. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7165&autoruns17ProcessExplorerMenu.png,center,mw:600,mh:600) メニューからProcessExplorerを選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7164&autoruns18.png,center,mw:600,mh:600) 今回の場合,Runsに登録されているプログラムが起動していたので,プロセスの詳細情報を取得することができた.
- 2020-05-29 (Fri) 01:29:55 by nobuaki
- Maltego
/4.2.9
/Shodan (1723d)
- 2020-05-28 (Thu) 01:02:18 by nobuaki
某サイトのメールサーバに不正にログインを繰り返して来るIPアドレスがあるので,それがどう行ったものか,調査する.
まずは,こんなエラーレポート.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7157&UseShodan_SASL_LOGIN_authentication1.png,center,mw:600,mh:600) SASL LOGIN authentication failedがたくさん記録されており,怪しいのでこのIPアドレスを調査することとする.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7158&UseShodan_SASL_LOGIN_authentication2.png,center,mw:600,mh:600) 最初に,IPv4 Addressパレットをグラフにドラッグし,IPアドレスを設定する.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7159&UseShodan_SASL_LOGIN_authentication3.png,center,mw:600,mh:600) 右クリックで,To All Details[Shodan]を選択. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7160&UseShodan_SASL_LOGIN_authentication4.png,center) ShodanのAPIキーの入力が必要と表示されるので,Shodanにログインしてキーを入手する.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7161&UseShodan_SASL_LOGIN_authentication5.png,center) チェックボックスを選択すると,API Keyを覚えてくれる.(今後も,都度表示されるが・・・)
RUNボタンを押下する. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7162&UseShodan_SASL_LOGIN_authentication6.png,center,mw:600,mh:600) 調査した結果.Viewボタンを押す. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7163&UseShodan_SASL_LOGIN_authentication7.png,center,mw:600,mh:600) 今回調査したIPアドレスの機器は,ドイツのInternet Hosting LTDを使っている模様.
OpenSSH 7.4を利用しているので,CVEコードで指定されている脆弱性に対応できてない可能性が高い.
これは攻撃手法を暴露してしまうということか...
- 2020-05-28 (Thu) 01:02:18 by nobuaki
- Maltego
/4.2.9
/ShodanCreateAccount (1723d)
- 2020-05-28 (Thu) 00:19:30 by nobuaki
- 2020-05-28 (Thu) 00:19:30 by nobuaki
- SecurityTool
/HIBPdomainSearch (1723d)
- 2020-05-27 (Wed) 23:14:00 by nobuaki
- 2020-05-27 (Wed) 23:14:00 by nobuaki
- Safari
/History (1725d)
- 2020-05-26 (Tue) 00:59:50 by nobuaki
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7112&SafariHistory4.png,center,mw:600,mh:600)
ターミナルから,確認する.
出力結果を,CSVファイルに出力する設定とする.
次のSQL文を実行する.
このSQLにある978307200は,1970年1月1日0時から2001年1月1日0時までの差.2001年1月1日0時というのは,Mac Absoulte timeという,この瞬間から刻んでいる絶対時間.macOSやiOSなどだけに流用できる.
実行した後は,Control+DでSQLite3のモニターモードを抜ける.
取り出したCSVファイルを確認.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7111&SafariHistory5.png,center,mw:600,mh:600) CSVファイルに,Safariの履歴が保存されていることが確認できる.
- 2020-05-26 (Tue) 00:59:50 by nobuaki
- Windows10
/pktmon (1726d)
- 2020-05-25 (Mon) 00:56:40 by nobuaki
このログファイルは,Microsoft Network Monitorを利用することで,読みやすくできる模様.
- 2020-05-25 (Mon) 00:56:40 by nobuaki
- MacOS X
/Software
/Brave (1728d)
- 2020-05-23 (Sat) 01:59:31 by nobuaki
- 2020-05-23 (Sat) 01:59:31 by nobuaki
- ForensicCollector
/AutoMacTC (1731d)
- 2020-05-19 (Tue) 23:52:40 by nobuaki
bash コマンドヒストリを実行日時ごとに取得. browser_chrome_downloads Google Chromeのダウンロードリスト. browser_chrome_history Google Chromeの訪問履歴. browser_chrome_profiles Google Chromeのプロファイル. browser_firefox_downloads Mozilla Firefoxのダウンロードリスト. browser_firefox_history Mozilla Firefoxの訪問履歴. browser_safari_downloads Safariのダウンロード履歴. browser_safari_history Safariの訪問履歴 coreanalytics Apple診断プログラムの実行内容 dirlist ディスク全体のファイルとディレクトリリスト. installhistory プログラムのインストール履歴. lsof コマンド実行時のファイルオープンリスト. mru SFLとMRUのplistを解析.SFLはSharedFileList.MRUは,Most Recentry Usedのことで,最近のアプリ実行履歴. netstat ネットワーク情報 pslist プロパティリスト. quarantines ダウンロードしたファイルの状態.一部は,WindowsのZoneInfoに近い感じ. quicklook Quicklooksのデータベース. runtime.log AutoMacTCの実行ログ? spotlight macOSに付いている全文検索エンジンのSpotLightのトップ検索. ssh 各ユーザーのknown_hostsおよびauthorized_keysファイルの解析 syslog macosの場合,syslog.logファイルの解析. systeminfo 現在のIPアドレスやMacのシリアルNo.やホスト名など. terminalstate Terminalの保存状態のファイル. users システム上の現在のユーザーと削除されたユーザーのリスト utmpx 端末上のユーザーセッションのリスト)
- 2020-05-19 (Tue) 23:52:40 by nobuaki
- Maltego
/4.2.9
/00
/IPinfo (1736d)
- 2020-05-15 (Fri) 00:43:05 by nobuaki
- 2020-05-15 (Fri) 00:43:05 by nobuaki
- Maltego
/4.2.9
/01
/20200514meiwakumail (1736d)
- 2020-05-14 (Thu) 23:33:11 by nobuaki
Maltegoで迷惑メールを可視化してみる2020.05.14版
- 2020-05-14 (Thu) 23:33:11 by nobuaki
- MacOS X
/daily.out (1737d)
- 2020-05-14 (Thu) 15:32:59 by nobuaki
関連情報
daily.outのファイルサイズが大きいから,syslogコマンドを止めてみた http://www.ujp.jp/modules/d3blog/details.php?bid=3236
- 2020-05-14 (Thu) 15:32:59 by nobuaki
- Maltego
/4.2.9
/windows
/01
/install( (1737d)
- 2020-05-13 (Wed) 23:49:01 by nobuaki
SHA256の場合,最後のMD5をSHA256にすればOKです. ダウンロードしたファイルを実行する.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=7026&Maltego03.png,center) Java 1.8か. Javaのライセンス問題で色々とあるけれど,インストールしようとしているバージョンには影響しませんとのこと. JREも色々とあるけれど,結局Oracle版なのかな. ローカルマシン上の他のユーザでも利用できるようにする. スタートメニューに登録する階層なので,メーカ名のPatervaは削っても良いかもしれない. MaltegoのMじゃなくて,PatervaのPなのでお間違えなく. Javaのメモリ設定を最適化してくれる模様.
そのためには,Maltegoの再起動が必要. 再起動されると,利用するライセンスを選ぶモードになる.
今回は,Maltego CE(Free)を選択. ライセンスを確認. Malegoでアカウントを取得する.
今回の手順書では,アカウント取得は省略. 既に取得済のアカウントでログイン. エラーレポートを送付するかどうかは,お好きなように... プライバシーモードは,Normalのママで. ブランクのページが開きます. 正常に開けば,OK.
- 2020-05-13 (Wed) 23:49:01 by nobuaki
- Windows10
/Sysinternals
/whois (1738d)
- 2020-05-13 (Wed) 11:53:00 by nobuaki
所感
最小限の機能になっているので,whoisサイトを使ったほうが良いでしょう.
想定される利用方法は,どうしてもバッチ処理などで利用したいときに使う程度かな.
- 2020-05-13 (Wed) 11:53:00 by nobuaki
- Stellar (1739d)
- 2020-05-12 (Tue) 00:31:45 by nobuaki
- 2020-05-12 (Tue) 00:31:45 by nobuaki
- TestDisk
/7.1
/macos (1743d)
- 2020-05-08 (Fri) 14:49:12 by nobuaki
今回利用したのは,TestDiskという無料ツールで,HomeBrew経由でインストールしているようしてみた.
- 2020-05-08 (Fri) 14:49:12 by nobuaki
- Maltego
/4.2.9
/00
/BlockChainInfo (1744d)
- 2020-05-07 (Thu) 02:01:44 by nobuaki
- 2020-05-07 (Thu) 02:01:44 by nobuaki
- Maltego
/4.2.9
/00
/HaveIbeenPwned (1744d)
- 2020-05-07 (Thu) 00:22:30 by nobuaki
- 2020-05-07 (Thu) 00:22:30 by nobuaki
- ThinTeleworkSystem
/Client (1749d)
- 2020-05-02 (Sat) 15:24:20 by nobuaki
- 2020-05-02 (Sat) 15:24:20 by nobuaki
- ThinTeleworkSystem
/Server (1749d)
- 2020-05-02 (Sat) 14:57:42 by nobuaki
NTT東日本-IPA「シン・テレワークシステム」を使ってみる〜サーバ編〜
今回は,まずはサーバ(コントロールされる側),つまり職場で自分が使っているパソコンに設置する.
- 2020-05-02 (Sat) 14:57:42 by nobuaki
- Windows10
/AirMacUtility (1753d)
- 2020-04-27 (Mon) 19:21:31 by nobuaki
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6867&AirMacScan5.png,center,mw:600,mh:600) Time Capsuleに接続できた.
Time CapsuleのHDDをマウントする
Time Casuleに接続が確認できたので,ネットワークドライブとして接続を行う. [ネットワークドライブの割り当て]を選択. ドライブレターをTとして,Time CasuleのIPアドレスと共有ドライブ名(ここではRAID3tb)を入力する. ユーザIDとパスワードを入力とあるが,ユーザIDは必要ないはず... 認証を進めると,次のようにエラーが表示される. 「この共有には最新でないSMB1プロトコルが必要です」とある.
SMB V1を有効にする.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6861&AirMacScan12SMBv1.png,center,mw:600,mh:600) [設定]から[プログラムと機能]を選択し,[Windows 機能の有効化または無効化]を選択する. #ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6860&AirMacScan13SMBv1.png,center) 「SMB 1.0/CIFSファイル共有のサポート」にチェックを入れて,Windows 10を再起動し,再度接続すればネットワークドライブに接続することができる.
- 2020-04-27 (Mon) 19:21:31 by nobuaki
- Windows10
/BluetoothLEexplorer (1754d)
- 2020-04-27 (Mon) 00:54:44 by nobuaki
- 2020-04-27 (Mon) 00:54:44 by nobuaki
- Windows10
/WindowsTerminal0.11 (1754d)
- 2020-04-26 (Sun) 22:47:13 by nobuaki
設定
▽をクリックして[設定]を選択.
JSONファイルが開いた...settings.json. 中身を見ると,こんな感じ.
メニューの設定は,このように追加すればよい模様. そして,ALTキーを押しながら,[設定]メニューを押すと,default.jsonがが開く.
まだ,タブになっているということと,PowerShellとコマンドプロンプトが同じ画面で切り替えられるという以外のメリットは無い模様...
- 2020-04-26 (Sun) 22:47:13 by nobuaki
- Maltego
/4.2.9
/00
/MovieDatabase (1757d)
- 2020-04-24 (Fri) 00:53:55 by nobuaki
- 2020-04-24 (Fri) 00:53:55 by nobuaki
- Maltego
/4.2.9
/mac
/01
/install (1758d)
- 2020-04-22 (Wed) 18:10:23 by nobuaki
- 2020-04-22 (Wed) 18:10:23 by nobuaki
- PowerShell
/tnc (1761d)
- 2020-04-20 (Mon) 10:26:24 by nobuaki
- 2020-04-20 (Mon) 10:26:24 by nobuaki
- Splunk
/7.3.1.1
/license (1792d)
- 2020-03-19 (Thu) 19:42:53 by nobuaki
- 2020-03-19 (Thu) 19:42:53 by nobuaki
- PowerShell
/ConstrainedLanguage (1830d)
- 2020-02-11 (Tue) 00:03:27 by nobuaki
何が制限されるのか
何が許されて何が制限されるのか,よくわからないので,以下のドキュメントを簡単に和訳しながら,理解していこうと思う.
PowerShell Constrained Language Mode https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/
- PowerShell module script files must explicitly export functions by name without the use of wildcard characters.
- PowerShellモジュールスクリプトファイルは、ワイルドカード文字を使用せずに関数を名前で明示的にエクスポートする必要があります。
- This is to prevent inadvertently exposing powerful helper function not meant to be used publicly.
- これは、公的に使用されることを意図していない強力なヘルパー機能を誤って公開することを防ぐためです。
- PowerShell module manifest files must explicitly export functions by name without the use of wildcards.
- PowerShellモジュールマニフェストファイルは、ワイルドカードを使用せずに関数を名前で明示的にエクスポートする必要があります。
- Again, to prevent inadvertent exposure of functions.
- 繰り返しますが、機能の不注意な露出を防ぐためです。
- COM objects are blocked.
- COMオブジェクトはブロックされます。
- They can expose Win32 APIs that have likely never been rigorously hardened as part of an attack surface.
- 攻撃対象の一部として厳密に強化されたことのないWin32 APIを公開できます。
- Only approved .NET types are allowed.
- 承認された.NETタイプだけは許されます。
- Many .NET types can be used to invoke arbitrary Win32 APIs. As a result only specific whitelisted types are allowed.
- 多くの.NETタイプは、任意のWin32 APIを呼び出すのに用いられることができます。その結果、特定のホワイトリストされたタイプだけは許されます。
- Add-Type is blocked.
- Add-Typeは妨げられます。
- It allows the creation of arbitrary types defined in different languages.
- それは、任意のタイプの作成が異なる言語で定められるのを許します。
- The use of PowerShell classes are disallowed.
- PowerShellクラスの使用は、認められません。
- PowerShell classes are just arbitrary C# type definitions.
- PowerShellクラスは、ただ任意のC#タイプ定義です。
- PowerShell type conversion is not allowed.
- PowerShell型変換は、許されません。
- Type conversion implicitly creates types and runs type constructors.
- 型変換は、暗黙のうちにタイプを構築して、タイプ建造者を立候補させます。
- Dot sourcing across language modes is disallowed.
- 言語全体でモードを供給している点は、認められません。
- Dot sourcing a script file brings all functions, variables, aliases from that script into the current scope.
- スクリプト・ファイルを供給している点は、現在の範囲にそのスクリプトからすべての機能、変数、別名を持ってきます。
- So this blocks a trusted script from being dot sourced into an untrusted script and exposing all of its internal functions.
- それで、これは、信頼できないスクリプトに供給されて、その内部の機能の全てを露出させている点であることから、信頼されたスクリプトをブロックします。
- Similarly, an untrusted script is prevented from being dot sourced into a trusted script so that it cannot pollute the trusted scope.
- 同様に、それが信頼された範囲を汚染することができないように、信頼できないスクリプトは信頼されたスクリプトに供給される点であるのを防がれます。
- Command resolution automatically hides commands you cannot run.
- 司令部決定は、あなたが経営することができない司令部を自動的に隠します。
- For example, a function created in Constrained Language mode is not visible to script running in Full Language mode.
- たとえば、圧迫された言語モードで作成される機能は、完全な言語モードで動作しているスクリプトに見えません。
- XAML based workflows are blocked since they cannot be constrained by PowerShell.
- 彼らがPowerShellによって束縛されることができないので、XAMLに拠点を置くワークフローは妨げられます。
- But script based workflows and trusted XAML based workflows shipped in-box are allowed.
- スクリプト・ベースのワークフローと信頼されたXAMLに拠点を置くワークフローがイン・ボックスを出荷したことは、許されます。
- The SupportedCommand parameter for Import-LocalizedData is disabled.
- 輸入LocalizedDataのSupportedCommandパラメータは、使用不能です。
- It allows additional commands prevented by Constrained Language.
- それは、さらなる命令が圧迫された言語によって防がれるのを許します。
- Invoke-Expression cmdlet always runs in Constrained Language.
- Invoke-Expression cmdletは、常に圧迫された言語で動作します。
- Invoke-Expression cannot validate input as trusted.
- Invoke-Expressionは、信頼される入力を確認することができません。
- Set-PSBreakpoint command is blocked unless there is a system-wide lockdown through UMCI.
- システムに広がる監禁がUMCIを通してない限り、セットされたPSBreakpoint命令はブロックされます。
- Command completers are always run in Constrained Language.
- completersが常に代々起こられるという命令は、言語を束縛しました。
- Command completers are not validated as trustworthy.
- 命令completersは、信頼できるように、確認されません。
- Commands and script run within the script debugger will always be run in Constrained Language if there is a system-wide lockdown.
- システムに広がる監禁があるならば、スクリプト・デバッガーの範囲内で動く命令とスクリプトは常に圧迫された言語で動きます。
- The DSC Configuration keyword is disabled.
- DSC構成キーワードは使用不能です。
- Supported commands and Statements are not allowed in script DATA sections.
- サポートされたコマンドと声明は、スクリプトDATA部で許されません。
- Start-Job is unavailable if the system is not locked-down.
- システムがロックされないで下でないならば、スタート-の仕事は利用できません。
- Start-Job starts PowerShell in a new process and if the system is not locked-down the new process runs in Full Language mode.
- スタート-の仕事は新しいプロセスにPowerShellを始めます、そして、システムがロックされないで下でないならば、新しいプロセスは完全な言語モードで動作します。
んー.直訳してそのまま載せたら,ちょっと意味わからんな.
- PowerShell module script files must explicitly export functions by name without the use of wildcard characters.
- 2020-02-11 (Tue) 00:03:27 by nobuaki
- HomeBrew
/PowerShell6.2.4 (1839d)
- 2020-02-01 (Sat) 19:22:05 by nobuaki
- 2020-02-01 (Sat) 19:22:05 by nobuaki
- TrendMicro
/OnlineScanForHomeNetwork (1853d)
- 2020-01-18 (Sat) 20:34:35 by nobuaki
test
- 2020-01-18 (Sat) 20:34:35 by nobuaki
- Windows10
/NearShare (1857d)
- 2020-01-15 (Wed) 00:24:26 by nobuaki
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6625&NearShare4.png,center,mw:600,mh:600)
- 2020-01-15 (Wed) 00:24:26 by nobuaki
- Windows10
/Sysinternals
/ProcessExplorer (1862d)
- 2020-01-09 (Thu) 23:28:46 by nobuaki
- 2020-01-09 (Thu) 23:28:46 by nobuaki
- Windows10
/Sysinternals
/bginfo (1862d)
- 2020-01-09 (Thu) 22:31:01 by nobuaki
- 2020-01-09 (Thu) 22:31:01 by nobuaki
- Windows10
/DeviceGuard_CredentialGuard (1862d)
- 2020-01-09 (Thu) 22:04:20 by nobuaki
PS C:\WINDOWS\system32> cd C:\Users\ujpadmin\Desktop\dgreadiness_v3.6🆑 PS C:\Users\ujpadmin\Desktop\dgreadiness_v3.6> .\DG_Readiness_Tool_v3.6.ps1 -Ready🆑
- 2020-01-09 (Thu) 22:04:20 by nobuaki
- Windows10
/ZoneInfo (1879d)
- 2019-12-24 (Tue) 00:27:21 by nobuaki
ゾーン識別子情報とNTFS
ファイルシステムがNTFSになって,ファイルストリームという機能がある.複数のファイルを1つのファイルとして扱う.この場合,本体のファイルとZone.Identifierという普段は見えないファイルがセットとなる.
インターネットからダウンロードしたら,ブラウザによってZone.Identifierファイルにインターネットゾーンを示すZoneId=3をつけられ「危ないかも」というフラグをつけられるけれど,そのファイルを添付メールなどで転送すると,Zone.Identifier情報は消えてしまうそうだ.ファイルシステムに依存した仕組みだから.
- 2019-12-24 (Tue) 00:27:21 by nobuaki
- Windows10
/Environment
/drivers (1883d)
- 2019-12-20 (Fri) 00:30:06 by nobuaki
- 2019-12-20 (Fri) 00:30:06 by nobuaki
- PowerShell
/01
/Get-ExecutionPolicy (1884d)
- 2019-12-19 (Thu) 00:45:22 by nobuaki
- 2019-12-19 (Thu) 00:45:22 by nobuaki
- SecurityTool
/decompiler
/dnSpyV6.1 (1898d)
- 2019-12-05 (Thu) 00:55:44 by nobuaki
- 2019-12-05 (Thu) 00:55:44 by nobuaki
- SecurityTool
/zenmap
/mac (1906d)
- 2019-11-26 (Tue) 20:16:59 by nobuaki
- 2019-11-26 (Tue) 20:16:59 by nobuaki
- SecurityTool
/nmap
/mac (1906d)
- 2019-11-26 (Tue) 19:47:56 by nobuaki
- 2019-11-26 (Tue) 19:47:56 by nobuaki
- SecurityTool
/masscan
/mac (1907d)
- 2019-11-25 (Mon) 23:45:36 by nobuaki
- 2019-11-25 (Mon) 23:45:36 by nobuaki
- Windows10
/EventLog
/Audit (1914d)
- 2019-11-19 (Tue) 01:21:28 by nobuaki
- 2019-11-19 (Tue) 01:21:28 by nobuaki
- Splunk
/7.3.1.1
/mac
/07BossOfTheSOCv1Setup (1935d)
- 2019-10-28 (Mon) 23:04:25 by nobuaki
ダウンロードできたら,ファイルを確認.
- 2019-10-28 (Mon) 23:04:25 by nobuaki
- Splunk
/7.3.1.1
/mac
/06LookupFileEditor (1941d)
- 2019-10-23 (Wed) 01:28:10 by nobuaki
また,今回の手順では,ルックアップファイルの登録も行なっている.
Lookup File Editorを使ってみる
ルックアップファイルも追加したし,インストールしたLookup File Editorを使ってみる.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6436&SplunkAppLookupFileEditor17.jpg,center) Splunkの左上のアイコンをクリックすると,ホーム画面に戻り,そこにLookup Fileが追加されている.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6437&SplunkAppLookupFileEditor18.jpg,center) 開いてみると,登録されているルックアップファイル一覧が表示され,今回登録したColdplayの楽曲リストも出て来た.
Nameの列をクリック.
#ref(http://www.ujp.jp/modules/xelfinder/index.php?page=view&file=6438&SplunkAppLookupFileEditor19.jpg,center) 表形式でエディタ画面が表示された.全データが表示されるようなので,非常に大きなルックアップファイルだとWebブラウザのメモリ消費量が大変そうな気がする.
- 2019-10-23 (Wed) 01:28:10 by nobuaki