昨年IPAに報告した「Everything」の脆弱性について、IPAに情報非開示依頼の取り下げを申請して認められたので、脆弱性関連情報を公開します。EverythingのHTTPサーバーを有効にしていて、外部からアクセスできて、IEを使用していると、PC内の任意のファイル…

TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blogもふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。 もふったーをインストールする I…

本番では、10.0.2.4で動いてたけど、手元では192.168.66.128で動かしている。http://10.0.2.4/ に繋ぐと、 Calendar server program running on this server.と表示される。ポートスキャンを掛けると、10081ポートでプログラムが動いている。 >file cals cal…

第1回SECCON CTF全国大会にチームmofuppとして参加してきた。SECCON 競技コンテスト開催！: 第1回SECCON CTF全国大会 結果報告NHKニュースmofuppは4位だった。（たぶん）Mercuryサーバーの3個目以外の、Mercury, Jupiter, Uranusの全キーワードはmofuppが最…

CODE VS 2.0に参加した。結果は、予選が総合9位、学生7位。決勝が初戦負けだった。5位の賞状（たぶん一回戦で負けた人全員が5位）を貰ったので、結果を訊かれたら、5位だったと言おう( ･`д･´) 予選 基本的に、3手（小）2手（中大）を全探索して最も評価値の…

SECCON CTFの横浜大会に参加してきた。チームメンバーは、@yatuhataさん、@tanaproさん、@zuisouさん、@kusano_k（私）。結果は準優勝だった。以下は各問題の解法と答え。分かるところのみ。 1 練習問題 書かれている答えをコピペするだけ。答え secconctf 2…

昨年、「TVRock」「東方文花帖 〜 Shoot the Bullet.」「kkcald」に脆弱性を発見し、IPAに報告しました。IPAからは脆弱性に関連する情報を公開しないように言われる（情報非開示依頼）のですが、起算日から1年以上が経過すると情報非開示依頼の取り下げを求…

(」・ω・)」うー!(/・ω・)/にゃー!encodeの説明。(」・ω・)」うー!(/・ω・)/にゃー!encodeは、JavaScriptを(」・ω・)」うー!(/・ω・)/にゃー!に変換する。このJavaScript alert("(」・ω・)」うー!(/・ω・)/にゃー!") は、以下のようになる。 (ᒧᆞωᆞ)=(/ᆞωᆞ/),…

某所で解いたCTFの問題の解説。 iCTF 2011 Challenge 33 The file contains JPEG image. By removing 0-72ac7 bytes, we can see the image with the answer. bank account 901729374207-162837465036 iCTF 2011 Challenge 30 The file name "reverse2.7z.en…

i) # coding: utf-8 # ライセンス：このプログラムは好きに使ってください import sys # 利用者 class user: def __init__(self,id_,t_,s_,g_): self.id,self.t,self.s,self.g = id_,t_,s_,g_ def __repr__(self): return "user(%d,%d,%d,%d)"%(self.id,self…

隣り合う音の差（半音を１とする）の和＋付点の個数%2 を特徴量とした。 # coding: utf-8 # ライセンス：このプログラムは、好きに使ってください。 # 特徴量の計算 def compute(s): # 譜面データ形式を、0:A, 1:A#, 2:B, 3:C, 4:C#, 5:D, 6:D#, 7:E, 8:F, #…

i) # coding: utf-8 # ライセンス：このプログラムは、好きに使ってください。 import sys # 問題のランダム文字列を生成 def makerandom(): R = [] r = 16 for i in xrange(3000000): r = (r*1103515245+12345)&0xFFFFFFFF R += [chr(0x61+(26*(r/0x10000))…

# coding: utf-8 # ライセンス１： # このプログラムのライセンス２以前の部分は下記のURLに記載されているプログラムです。 # 下記のサイトのライセンス（CC-BY-SA）に従ってください。 # http://en.wikipedia.org/wiki/Lanczos_approximation from cmath i…

# coding: utf-8 # ライセンス：このプログラムは、好きに使ってください from datetime import * from time import * print "Input a b c n." a,b,c,n = map(int,raw_input().split()) A = date(a,b,c) # 生年月日 B = date.today() # 現在日時 C = date(a+…

CODE VSに参加した。予選は、総合部門3位、学生部門2位。決勝戦には学生のみ出場できて、3位（準決勝進出）。ソースコード。 事前計算 実行する度にマップが変化するとのことだけど、マップは一部の障害物が出たり消えたりするだけ。敵は常に同じ。また、htt…

http://canyoucrackit.co.ukで出題されていた問題の解答。サイトには書かれていなかったけど、出題者は英国諜報機関。クラックできたらスパイとして採用――英諜報機関 - ITmedia ニュース

SENDAI光のページェントと皆既月食の写真。

@kusano_k ksn C言語の問題① ( x==y && x+1==y+2 ) が真（非0）となるxとyの型と値は何でしょう？ C言語の問題② ( x==y && x+1!=y+1 ) が真（非0）となるxとyの型と値は何でしょう？ https://twitter.com/#!/kusano_k/status/127368325490683904 の解答。特…

CTF（セキュリティ関係のクイズ）でExploit（プログラムの脆弱性を突く）問題がさっぱり解けないので、練習した。 問題 こんな問題を自作した。 [kusano@madoka exploittest]$ ll 合計 16 -rwsrwxr-x 1 secret secret 5078 2011-10-05 23:50 crypt -rw-rw-r-…

Google ChromeだとIEのように一時フォルダにファイルを保存して開くということができないので、ダウンロード専用のファイルを見るのがちょっと面倒。ということで、HTTPヘッダから、Content-Dispositionを除去し、Content-Typeをapplication/octet-streamか…

旅行とか帰省のときはいつも、何か忘れていないか不安になる、というか実際に忘れているので持ち物をリストにまとめよう。 財布・金・免許証 腕時計 ハンカチ・ティッシュ 携帯・充電器 スマホ・充電器・micro USBケーブル・スティックブースター 切符（電車…

Google Developer Day 2011 Japan を開催します - Google Japan Developer Relations BlogGoogle Developer Day 2011 Japanというイベントがあって、それに参加するためには事前にクイズで高得点をとる必要がある。想定解法でなさそうなのが多いけど、私の解…

実家で観た。去年から会場が実家のすぐ近くになったらしい。

バックアップ用スクリプトから呼び出すようにすれば、手元のPCのバックアップ時に同時にバックアップできる。 # coding: utf-8 # はてなダイアリーから「はてなの日記データ形式」で記事データをダウンロードして # 日付をつけて保存 import urllib, urllib2…

ニコニコ静画の「お題」の画像をまとめてダウンロードするPythonスクリプト。urllib2でCookieを使う - ひきメモを参考にしました。ありがとうございます。 # coding: utf-8 # seigadl.py # ニコニコ静画の「お題」の画像をまとめてダウンロード # python sei…

Apacheのバーチャルホストを使うと１つのIPでhttp://sanya.sweetduet.info/とhttp://eila.sweetduet.info/という２つのサイトを動かせる。ブラウザがホスト名を送る前に証明書が送られるので、これをHTTPSにしようとすると*.sweetduet.infoというワイルドカ…

避難所に行った事なんて初めてだったし、今後の備えのために....〆(･ω･｀ )ﾒﾓﾒﾓ 2011/3/11 書類提出のために川内キャンパスにいたところで地震に遭う。右往左往していたところで、職員の方に逃げようと言われて、外へ。地震で外に逃げることすら初めてだった…

TwitterのUserStreamをHTMLに変換するCGIを書いた。適当なサーバー（専用サーバーかVPSサーバーじゃないとプログラムの実行時間に制限があって無理かも）でログ保存用のスクリプトを動かしてログを保存しておけば、Twilogのように使える。Twilogと違って単に…

PythonでTwitterのUser Streamを取得してみた。残念ながらtweepyは対応していない。何となく難しそうなイメージがあったけど、OAuthの部分をライブラリに任せてしまえば、けっこう簡単。delimited=lengthを付けた場合は、 x xバイトのデータ y yバイトのデー…

今でもブログを使わずにHTML直書きで日記を書いている方が居る。RSSリーダーで読みたい。そういうときに使えるサービスとしてPage2Feed APIがあるけど、自動処理よりは自分で指定した方が綺麗に抜き出せるので、そんなスクリプトを書いた。 著作権とかセキュ…