Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ハッキング道場-ペネトレ練習用VMのご紹介-

hiro
October 24, 2017

 ハッキング道場-ペネトレ練習用VMのご紹介-

hiro

October 24, 2017
Tweet

More Decks by hiro

Other Decks in Technology

Transcript

  1. アジェンダ 1 ペネトレーション練習用VM 2 メディアの入手と動作環境 3 体験してみよう!ハッキング 4 ハッキングシミュレーター 5

    解けないときは 6 まとめ ※お断り ハッキング手法を知り、防御に活かすこと を目的としています。決して自分の管理外 のシステムに試さないでください。
  2. ペネトレ練習用(無償) 5 メディア 使うツールなど レベル 最終更新日 De-ICE S1.100 nmap、ftp、strings、john、hydra 2:ちょっと難しい

    2007/02/28 De-ICE S1.110 nmap、ftp、strings、john、hydra 1:易しい 2007/03/20 De-ICE S1.120 nmap、sqlmap、john、hydra 1:易しい 2011/03/30 De-ICE S1.123 netdiscover、nc(netcat) 1:易しい 2009/10/12 De-ICE S1.130 netdiscover、nmap、hydra、openssl 3:難しい 2011/03/30 De-ICE S1.140 nmap、john、hydra (ブートしなかった) 2013/10/10 De-ICE S2.100 netdiscover、ftp、dirb、john 1:易しい 2008/01/16 http://hackingdojo.com/dojo-media/
  3. 7 ちょっと、本格的(ガチ)なやつ ▪脆弱性を含むペネトレ練習用のVM 開発元 練習用VM 脆弱性 最終更新日 RAPID 7 Metasploitable

    2 (DVWA、Mutilidae含む) Linuxベース、脆弱性を含む 多数のサービス、Webアプリ、 弱いパスワードなど 2012/05/21 OWASP BWA(Broken Web Applications) (WebGoat、Mutilidae II含む) 脆弱性なWebアプリ 2017/07/22 IPA AppGoat Webアプリケーション SQLi、XSS 2017/06/06
  4. 15 ネットワーク環境の注意点① ▪VirtualBoxにおける仮想ネットワーク ホストOS ホストオンリー アダプタ ゲストOS ゲストOS ゲストOS NAT

    VirtualBox 内部ネット ワーク ルータ インター ネット 外部に影響がないように、必ず「ホストオンリー アダプタ」「内部ネットワーク」で構成すること
  5. 18 ペネトレ練習用VMの目的と攻略手順 ▪攻略の目的 ⇒root権限や機密情報の窃取(攻撃者の目線) ⇒CTF(Capture The Flag)を謳うものは、Flag(キーワードみたいなもの)を探す ▪攻略手順(シナリオによって異なる) ①IPアドレスの調査(netdiscover、arp-scan) ②ポートスキャン(nmap)

    ③空いているポートによって、その後の攻略法が異なる HTTP、SSH、FTP、SMTP、RDBMS(Oracle,MySQL,PostgreSQL) ④ログインユーザ名の窃取、類推(SMTPscan、sqlmap) ⑤総当たり攻撃やリスト攻撃(hydra) ⑥パスワード解析(john the ripper) ⑦管理者権限への昇格