OWASP ZAPの起動時に「This application requires a Java Runtime Environment 11.0.0」が表示されたときの対処法
OWASP ZAP を最初に起動しようとすると、
This application requires a Java Runtime Environment 11.0.0
というメッセージが表示され、起動できないことがあります。
私の環境はJDK17がPathに通っているので動きそうに思えるのですが、この環境ではNGのようです。
解決策
ZAPのインストールフォルダに「zap.bat」というバッチファイルがあります。 これを実行するとZAPを起動することができます。
無事、起動することができました。
日商簿記3級 97点で合格!
日商簿記3級を受検してきました。
これまでの取り組みは下記記事を参照。
そしていよいよ本日11/12が受検日!結果は。。。
日商簿記3級受かったー!97点で1問間違えたみたい。 #簿記3級 pic.twitter.com/eUExeZCnUV
— Sho Kosaka 小坂翔 (@pepepki) November 12, 2022
そうなのです。無事に受かりました。
結果は1問間違えたものの、97点なので満足です。
第1問と第3問は満点。ほぼ迷うことはありませんでした。
これもふくしままさゆきさんのYoutube講義で理解し、スッキリうかるでの問題演習を繰り返したことが実を結んだと実感しています。
第2問は見慣れない問題があり、悩みましたが何とか理解して解答をすることができました。動画と演習の繰り返し学習をしていなければ難しかったかも。。。
スッキリうかるについては、紙の問題集には9回分の予想問題があり、パソコンで受検する予想問題も5回分収録されているので、全部で14回の模擬試験ができます。
私は14回全部やりましたが、さすがにこれだけの数をこなしたのは効果があったようです。問題演習繰り返すのはオススメです。
勉強はほぼ朝の仕事開始前に行っていました。
朝は頭が冴えているので、捗ります。
朝イチの簿記3級模擬試験満点!
— Sho Kosaka 小坂翔 (@pepepki) November 7, 2022
簿記の勉強のために8桁電卓を買って失敗した
簿記3級の受験のため、「一応電卓を買っておくか。。」ということで家電量販店で特売だった電卓を何も考えずに購入しました。確か500円かかりませんでした。
これがCASIOの電卓で悪くはなかったのですが、桁数が8桁。つまり、金額的には数千万円までの計算ができることになります。
問題集を解いていると7桁の計算が多かったので気にしていなかったのですが、、
8桁では足りない事態に遭遇しました。
ネット試験の模擬試験を解いていたところ、第3問で9桁の金額を計算する問題が出現。第3問は結構電卓を叩く必要があるので、これは痛い。。
もし本番で9桁以上の金額を計算する問題が出ては元も子も無いので、電卓を買い直すことにしました。トホホ。。
色々調べていると、12桁あるとまず大丈夫とのこと。
次に購入したのは、Amazonで手ごろな値段だったCASIOの12桁電卓です。
12桁まで対応しているので、簿記3級で足りなくなることはまず無いでしょう。
これを簿記のお供に、頑張って合格したいと思います。
それにしても、よく考えれば8桁だと億単位の計算ができないわけですから、
中小企業でも決算の計算に堪えないですよね。。そりゃそうですよね。勉強になりました。
36歳からの日商簿記3級受験に向けてやっていること、参考書・問題集
日商簿記3級受験に向けて勉強を進めています。
私はエンジニアですが、会計のシステムを手掛ける会社へ2022年10月に転職したことを期に、簿記3級ぐらいの知識は持っておかないと!ということで受験をすることにしました。
<追記>
その後、無事97点で合格しました!
勉強の流れ
実は8月頃から徐々に勉強を始めていました。
勉強を始める前の簿記知識(~7月まで)
カリカタ、カシカタって何?フクシキボキ?ウリカケ金?
…と、ほぼ無知な状態でした。
7月中旬に現在の会社への転職が決まり、7月末に受験を決意しました。
勉強開始(8月~9月)
とりあえず分かりやすそうなテキスト兼問題集を探していたところ、
下記のスッキリわかるシリーズが評判もよく、見やすそうだったので選択
テキストの理解→問題演習を2周取り組みました。
最初は分からない問題がいくつかありましたが、2周繰り返すことで仕上がった感じがします。
ただ、同時並行でふくしままさゆきさんのYoutube講義も見ていました。
簿記3級だけで24個の動画で説明・問題演習ができるようになっているのですが、これがメチャクチャよかった!超おすすめです。
なぜその仕訳になるのか、実務ではどうしているのかといったプロならではの解説があり、しかも解説がメチャクチャ分かりやすく頭にスッと入ってきます。
3級の動画を一通り見た後は霧が晴れたように解ける問題が目に見えて増えていました。
ふくしままさゆきさんの動画を見終わるころ、テキストもほぼ終わったので巻末の模擬試験とWEBの模試を解いたところ、どちらも細かいミスはあったものの、9割前後の得点でした。
問題演習と総仕上げ(10月~11月受験まで※予定)
なんとなく手ごたえは感じていましたが、問題演習の不足を感じていたので、
問題集を購入しました。
スッキリうかるについては、9回分の予想問題集とネット試験が5回分もあるので全部で14回分の演習ができます。
評価も問題なさそうだったので、こちらで仕上げることにしました。
この記事を書いている時点で3回分解き終わったところですが、細かいミスが少し・理解の誤りが発見でき、ちょうどよい感じです。
日商簿記3級のネット試験を11月受験で予約し、上司に受験することを伝えたところ、ポジティブな応援のメッセージをいただきました。ありがたいです。
しっかり仕上げて合格したいと思います!
TryHackMe Overpass writeup
Overpassのwriteupです。
Hack the machine and get the flag in user.txt
まずはnmap
22番ポートと80番ポートが空いているよと教えてくれた
ブラウザでアクセス
よく分からないのでgobusterでサーチするとadminといういかにも怪しいディレクトリ発見。
adminにアクセスするとログインページが出現
ただ、UsernameもPasswordも分からん。ということでソースを見ていると、いかにも作りこまれたJS達を発見
login.jsでログインフォームをポスト後に、ログイン成功した場合はCookieをセットするとある。ここが使えそう。
JSの通りにCookieを設定
/adminをリロードすると画面に変化が。秘密鍵とユーザJamesさんということが分かった。
鍵をコピーしてid_rsaを作成→SSHログイン。。。はできず。
秘密鍵のパスワードが必要な様子。
johnの力を借りてクラックしたところ、秘密鍵のパスワードを特定。
もう一回入ってみると、無事ログインでき、user.txtのフラグゲット
Escalate your privileges and get the flag in root.txt
sudo -lが使えなかったのでlinpeasで調べる
https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
ローカルにファイルを置いて、pythonでhttpサーバーを立ち上げてリモートからwgetでlinpeas.shを取得して実行。
妙なscriptを実行しているcron設定を発見
overpass.thmのbuildscript.shを実行している。
これは要するに、特権昇格のスクリプトを仕込んでローカルで待ち受ければいいということか。。
ローカルで叩かせたい偽物シェルを準備して80番ポートでhttpサーバーを起動
/etc/hostの設定も書き換える
と同時に1234ポートで待ち受ける
そうすると、1分周期でscriptを取りに来て実行してくれる。
その結果、リバースシェルが実行され、rootフラグ奪取成功!
TryHackMeのAttackBoxへファイルのコピーができるか
Tryhackmeでタスクファイルをダウンロードして、AttackBoxの実行環境へファイルを移さなければならないケースがあります。
AttackBoxはクリップボード機能はあり、テキストについてはローカル⇔AttackBoxどちらの方向でもコピーができます。
ただし、この機能では残念ながらファイルのコピーができません。
タスクファイルがテキストデータだったらクリップボードにコピーして移すことができないことはありませんが、かなり面倒です。
また、パスワード付Zipなどテキスト以外のファイルだったらそもそもコピーできません。
そこでたどり着いた結論は、「AttackBoxでTryHackMeにログインする」です。
これならタスクファイルが問題なく使えるようになります。
AttackBoxではFireFoxが使えるので、AttackBoxのブラウザからTryHackMeにログインして、対象のRoomに入ってタスクファイルをダウンロード。
AttackBox上にダウンロードされるので、そのまま使えます。
かなり地味なやり方ですが、この方法しかないように思われます。
他には、クラウドのストレージ共有を使う方法もありますが、あまりあちこちにアップロードするのもよろしくないので、私は上記で紹介した方法を使ってタスクファイルを使うようにしています。
TryHackMeでサイバーセキュリティの学習。日本人400位以内に入りました。
<追記>
この記事書いた後、最終的に100位まで到達しました。
Tryhackmeの記録です。
日本人1000位以内に入るまで
サイバーセキュリティの実践的な学習をしようとネットサーフィンをしていると、TryHackMeというサービスを発見しました。
学習コンテンツと合わせて実際に攻撃者の立場でハッキングをする演習ができる内容となっていて、なかなかスキルアップにもよさそうです。
私は現在情報処理安全確保支援士の取得を目指して勉強中ですが、実践的なトレーニングにもなると考えてTryHackMeを使ってみることにしました。
執筆時点で1週間ほど使ったところですが、初心者向けの「pre security」の各roomを進めていっています。
英語にまだ苦手意識があるのでスムーズに進めるところまでは至っていませんが、内容が初学者でも理解できるレベルの基礎的な部分から始まるため、良い感じの手ごたえを感じながら進めています。
難易度が高いroomに到達するころにはスムーズに英語が読めるようになっておきたいところ。
tryhackmeはroomを攻略する毎にポイントがたまり、ユーザー間でランキング形式で競い合うことができるようになっています。
そこで気づきました。
まだ初学者向け「pre security」の途中なのに、日本人1000位以内に入っていました。
ちなみに、全世界で見ると144509位。こちらで見るとかなり下ですね。
日本でまだそんなに普及していない感じなのでしょうかね。。
確かに全編英語なので、英語が読めないと取り組めないハードルはありますが。
ランクアップはモチベーションアップにかなり良い感じに効いています。
次は日本人500位以内を目指して頑張ります!
日本人400位以内に入るまで
1000以内にランクインしてから三週間ほど経って、400位以内に入ることができました。(執筆時点では397位)
なお、世界ランクは51384位なので、かなり上昇しましたが、世界的にはまだまだですね。
英語onlyなので日本人には敷居が高いのかもしれません。
かくいう私も英語は苦手なのですが、毎日1~3時間程度tryhackmeで英文を読む日が続いたせいか、少しずつ慣れてきました。
難解な文はGoogle先生の翻訳に頼っている状況です。
現在Tryhackmeのレベル7、Roomは30個コンプリートしています。
「pre security」は終わり、現在Complete Beginnerの途中なのですが、「Top 5%」というなんだかかなり高い水準のようです。正確には、登録だけしてあまりやっていない人も多いのでしょうね。
肝心の内容ですが、Webの脆弱性を突いた攻撃方法やパスワードクラックの方法を学んでいます。
gobusterだとかjohnだとか新しいツール、コマンドがどんどん出てくるのでやりながら自分用のメモにまとめていっています。そうしないと必要な時すぐに使えません。
なお、本職がWebアプリの開発者なのに、Web周りが結構難しいです。Burp Suiteに慣れていないせいもあるかもしれませんが、Write UpやDiscordをかなり調べまくりました。
Burpがなんだか上手く動かない。。と2日ほど泣きながら止まっていたところ、Burp Suiteを再起動したら解決した、という拍子抜けしたこともありました。
あと、月間10ドルのサブスクリプションにも登録しました。
VIPのRoomに入れるのと、WebベースでKali Linuxが使えるのが大きいです。
Webベースなので癖があるのと2時間で勝手にTerminateされるのがストレスですが、やっている内に慣れました。
日本人500位に入るところまではトントンと上がっていったのですが、450位ぐらいから急に上がりにくくなりました。この辺から層が厚くなっている気がします。
次は300位以内を目指します!