# coding: cp932
# for Python 2.x

import sys,io
import codecs
import urllib2

param = sys.argv
if (len(param) == 3):
 print("(Usage) : SQLinjection_log_decode.py LogFileName OutputFileName(decoded)")
 print(" %URL DECODE & 0x DECODE")

# 入出力ファイルのオープン
ifile = open(param[1], 'r')
ofile = codecs.open(param[2], 'w', 'utf-8')

# 1行読み込み
buf_line = ifile.readline()
icnt = 0

# --- Start of loop ---
while buf_line:
 # %エンコードされたテーブルの列名や、16進表記のASCII文字をデコード
 buf_line = buf_line.replace("0x","%")
 buf_line = urllib2.unquote(buf_line)
 # デコードしたログを1行出力
 icnt = icnt + 1
 if ((icnt % 50) == 0):
  print("--- processed " + str(icnt) + " lines \n")
 # 1行読み込み
 buf_line = ifile.readline()
# --- End of loop ---

# 入出力ファイルのクローズ
posted by 貝貝 at 14:12| Comment(0) | Internet | このブログの読者になる | 更新情報をチェックする


Linux 主要ディレクトリ一覧 for Forensics

/etc [%SystemRoot%/System32/config]
– Primary system configuration directory
– Separate configuration files/dirs for each app
/var/log [Windows event logs]
– Security logs, application logs, etc
– Logs normally kept for about 4-5 weeks
– User data and user configuration information

Basic System Profiling
Linux distro name/version number:
Installation date:
Look at dates on /etc/ssh/ssh_host_*_key files
Computer name:
/etc/hostname (also log entries under /var/log)
IP address(es):
/etc/hosts (static assignments)
/var/lib/dhclient, /var/log/* (DHCP)

Default Time Zone
• /etc/localtime stores default time zone data
• Binary file format:
– Use "zdump" on Linux
– Look for matching file under /usr/share/zoneinfo

User Accounts
• Basic user data in /etc/passwd
Any UID 0 account has admin privs
• MD5 password hashes in /etc/shadow
(brute force with "John the Ripper")
• /etc/sudoers may indicate users w/ admin privs
• Group memberships in /etc/group

User Login History
• /var/log/wtmp
– Shows user, source, time, and duration of login
– Need to use Linux "last" command to view
• Other logs that may contain useful data:
– /var/log/auth.log
– /var/log/secure
– /var/log/audit/audit.log

There's No Place Like $HOME
• /home/ is common convention
• Home dir for admin user is /root
• "Hidden" files/dirs have names starting w/ "."
– Contain app-specific configuration information
– Sometimes executed at login
– Possible back-door or persistence mechanism

Web Browser Artifacts
• Firefox and Chrome are common browsers
• File formats the same as Windows (SQLite DBs)
• Files under user home directories:
– Firefox: $HOME/.mozilla/firefox/*.default
– Chrome: $HOME/.config/chromium/Default

Command History
• $HOME/.bash_history
• Unfortunately not time-stamped by default
• Can be modified/removed by user
• Sudo history in:
– /var/log/auth.log
– /var/log/sudo.log

• Standard remote access/file xfer mechanism
• Useful files in $HOME/.ssh:
known_hosts – hosts user connected to from here
authorized_keys – public keys used for logins to here
id_rsa – private keys used to log in elsewhere

Persistence Mechanisms
• Service start-up scripts
/etc/inittab, /etc/init.d, /etc/rc.d (traditional)
/etc/init.conf, /etc/init (Upstart)
• Scheduled tasks ("cron jobs")


• Linux graphical file browser
• Like Windows Explorer
• Thumbnails: $HOME/.thumbnails
• Recent files: $HOME/.recently-used.xbel

Back Doors
• Deliberate malware/Trojan horse installs
• In /etc/passwd and /etc/shadow:
– Extra UID 0 accounts
– "Application" accounts with active passwords
• New $HOME/.ssh/authorized_keys entries
• Back doors via [x]inetd
/etc/xinetd.conf, /etc/xinetd.d

Also Watch Out For…
• Rogue "set-UID" files
• Directories w/ names that start with "."
• Regular files under /dev directory
• Recently modified files
• Large files
posted by 貝貝 at 09:21| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする

Linux コマンド一覧 for Forensics

fdisk -l パーティションの確認 ハードディスクは /dev/sda /dev/sdb …
df 各パーティションのマウント状況
demsg デバイスドライバ関連のメッセージ表示 通常、grepやmoreと組み合わせる
ailias コマンドの別名を登録
basename パス名からファイル名を取り出す
cal カレンダーを表示する
cat ファイルの内容を表示する
cd カレント・ディレクトリの変更
chgrp ファイルやディレクトリの所属グループを変更
chmod ファイルやディレクトリのパーミッションを変更
chown ファイルやディレクトリの所有者を変更
clear 画面をクリアする
compress ファイルの圧縮/復元(*.Z)
cp ファイルやディレクトリをコピーする
crontab ジョブを自動実行する
cut 文字列を切り出す
date 現在の時刻を表示/設定する
df ディスク使用量を調べる@
diff ファイルの内容の違いを調べる
du ディスク使用量を調べるA
echo 文字列や変数の値を表示
exit ログアウトする
find ファイルの検索
ftp FTPでファイルを転送する
grep 文字列を検索する
groupadd グループを追加する
groupdel グループを削除する
groupmod グループの設定を変更
gunzip 圧縮ファイルの復元(*.gz)
gzip ファイルの圧縮/復元(*.gz)
head ファイルの先頭部分を表示する
history コマンドの履歴を表示
hostname 現在のホスト情報を表示
id ユーザー・グループIDを表示する
jobs バックグラウンドジョブを表示
kill プロセスまたはジョブを終了する
less ファイルの内容を1画面ごとに表示するA
ln ファイルやディレクトリにリンクを設定
ls ファイル・ディレクトリ情報を表示する
mail メールを送受信する
man コマンドのマニュアルを表示
mkdir ディレクトリを作成する
more ファイルの内容を1画面ごとに表示する@
mv ファイルの移動/ファイル名の変更
netstat 現在のネットワーク状況を表示
nohup ログアウト後もプログラムを実行する
passwd パスワードを変更する
ping ホストとの接続確認
ps 実行中のプロセスを表示
pwd カレント・ディレクトリの表示
rcp リモート・システム間でのファイルコピー
rm ファイルやディレクトリを削除する
rmdir ディレクトリを削除する
rsh リモート・マシンにコマンドを送る
sed 文字を変換する
shutdown システムを停止する
sleep 一定時間スリープする
sort ファイル行を並び替える
split ファイルを分割する
su 他のユーザーに切り替える
sync バッファの内容をディスクに書き込む
tail ファイルの末尾を表示する
tar アーカイブの作成/復元
telnet リモート・マシンにログインする
touch ファイルのタイムスタンプを更新
unalias コマンドの別名を解除
uncompress 圧縮ファイルの復元(*.Z)
unzip 圧縮ファイルの復元(*.zip)
useradd ユーザーを追加する
userdel ユーザーを削除する
usermod ユーザーの設定を変更
vi テキストファイルを編集する
wc テキストファイルの大きさを調べる
which コマンドのパスを表示
who ログインしているユーザーを調べる
zcat 圧縮ファイルの内容表示
zip ファイルの圧縮(*.zip)
posted by 貝貝 at 09:18| Comment(0) | Linux | このブログの読者になる | 更新情報をチェックする



1 有線LAN経由でインターネット接続されたMacを準備する。

2 Macのインターネット共有を有効にし、Wi-Fiアクセスポイント化
 C「インターネット共有」チェックボックスの選択を解除し、「Wi-Fi オプション」をクリック
 D ネットワークの名前(SSID)とパスワードを設定します。続いて、「インターネット共有」チェックボックスを再度選択します。

 ※ Macに外部ドライブを接続していると共有できない場合がある(原因不明)

3 スマホを上記SSIDに接続

4 MacでWiresharkを起動し、インターフェースWi-FIを選択してキャプチャ
posted by 貝貝 at 11:14| Comment(0) | Mac | このブログの読者になる | 更新情報をチェックする