ハニーポットと脆弱性スキャン

2018೥7݄23೔ OWASP Nagoya Chapter ϛʔςΟϯάୈ6ճൃදࢿྉ ϋχʔϙοτͱ ੬ऑੑεΩϟϯ @morihi_soc

ϋχʔϙοτͱ੬ऑੑεΩϟϯ XIPBNJ w ৿ٱ࿨ত !NPSJIJ@TPD w ຊۀ͸ωοτϫʔΫηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ
w ϒϩάˠIUUQXXXNPSJIJTPDOFU w ϋχʔϙολʔٕज़ަྲྀձओ࠵ऀ w IUUQTIBOJQPUFDIDPOOQBTTDPN 2 ࠓ·Ͱʹ͓ੈ࿩ʹͳͬͨΠϕϯτ(Ұ෦) ɾ*5,FZT ݱ4FD$BQ ɾωοτϫʔΫύέοτΛಡΉձ Ծ ɾ/*4$αΠόʔϋϩ΢Οϯ ɾ*OUFSOFU8FFLɾ)BSEFOJOH ɾTTNKQɾ"*4FDɾ4UVEZ$PEF ɾULULηΩϡϦςΟษڧձ ɾ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձ ग़൛ͨ͠ຊ΍ٕज़ಉਓࢽ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ϋχʔϙοτͱϋχʔϙολʔ w ϋχʔϙοτ )POFZQPU ͱ͸ɺ͋͑ͯ߈ܸΛ ड͚Δ͜ͱΛલఏͱͨ͠γεςϜͰ͢ɻ w ϋχʔϙοτ͕ه࿥͢ΔϩάΛ؍࡯͢Δ͜ͱͰɺ ੜͷ߈ܸ৘ใΛऩू͢Δ͜ͱ͕Ͱ͖·͢ɻ
w ϋχʔϙολʔ  ˠϋχʔϙοτΛӡ༻͢Δਓͷ͜ͱ w 8FCʹಛԽͨ͠ϋχʔϙοτΛ࡞ͬͯΈͨΑ  ˠ8FMDPNFUP0NPUFOBTIJ8FC)POFZQPU  ɹ௨শɿ808)POFZQPU 3

ϋχʔϙοτͱ੬ऑੑεΩϟϯ 4 808)POFZQPU঺հ ߈ܸऀ ϋχʔϙοτ ᶃअຐ͢ΔͰʙ GET /wordpress/wp-login.php HTTP/1.1 ᶅϩάΠϯϒϧʔτ߈ܸ΍
POST /wordpress/wp-login.php HTTP/1.1 ᶄWordPress ͷϖʔδͰ͢ɻͲ͏ͧ! 200 OK ͓ͬ WordPress ಈ͍͍ͯΔ΍Μ wp-login.php ͔ͩΒ WordPress Λ૷͓͏ GitHub→ https://github.com/morihisa/WOWHoneypot ෼ੳ ෼ੳ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ߈ܸऀͷࢹ఺ 5 ຖճखಈͰ߈ܸ͢Δͷ͸େมͩ Ұ఺ಥഁ͢Δඞཁ͸ͳ͍ ੬ऑੑΛ·ͱΊͯεΩϟϯ͍ͨ͠ ߈ܸऀ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ͦΜͳͱ͖͸ɺ੬ऑੑεΩϟφ w ෳ਺ͷ੬ऑੑͷଘࡏ༗ແΛௐࠪͯ͘͠ΕΔπʔϧ w Φʔϓϯιʔεɾ༗ঈιϑτ΢ΣΞ΍αʔϏε͕ ଟ਺ఏڙ͞Ε͍ͯΔ w ઈରʹ੬ऑੑݟ͚ͭΔͱ͍͏Ϟνϕʔγϣϯ w
௚ײతʹɺʮ͋ɺ͜ͷαΠτ੬ऑੑ͋Γͦ͏ʯͱ ͍͏Α͏ͳ৬ਓܳͰݟ͚ͭΔ੬ऑੑ͸লུɻ 6 ͱ͋Δ਍அһͱ৭ʑ໽հͳ੬ऑੑୡ https://www.slideshare.net/zaki4649/ss-39061128

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ނࣄ w ʮͲΜͳ६΋ಥ͖௨͢ໃʯͱ w ʮͲΜͳໃ΋๷͙६ʯΛച͍ͬͯͨஉ͕ɺ w ٬͔ΒʮͦͷໃͰͦͷ६Λಥ͍ͨΒͲ͏ͳΔͷ͔ʯͱ  ໰ΘΕɺฦ౴Ͱ͖ͳ͔ͬͨͱ͍͏࿩ɻ 7
https://ja.wikipedia.org/wiki/%E7%9F%9B%E7%9B%BE ϋχʔϙοτʹ੬ऑੑεΩϟφΛ  ଧͪࠐΜͩΒͲ͏ͳΔͷ?

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ΍ͬͯΈͨ w /JLUPͰݕূ w ࣮ݧର৅ w 1ZUIPOͷIUUQTFSWFS w Կ΋͠ͳ͍8FCαʔό୅ද
w 808)POFZQPU w ϋχʔϙοτ୅ද 8

ϋχʔϙοτͱ੬ऑੑεΩϟϯ σϞ 1ZUIPOͷIUUQTFSWFS w QZUIPONIUUQTFSWFSͰىಈ͢Δ 9 ৘ใ͸΄΅  औಘͰ͖ͳ͍

ϋχʔϙοτͱ੬ऑੑεΩϟϯ σϞ 808)POFZQPU w QZUIPOXPXIPOFZQPUQZͰىಈ͢Δ w ͨͩ͠ɺ*1ϒϥοΫϦετػೳΛແޮԽ͓ͯ͘͠  DPOpHUYUͰJQNBTLJOH5SVFʹ͢Δ 10 ←ઌ಄
↓࠷ޙ 1,000ߦҎ্

ѹ౗తͰ͸ͳ͍͔ɺ զ͕ϋχʔϙοτ͸

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ੬ऑੑεΩϟφଆ w ؾ࣋ͪΑ͘߈ܸ͕Ͱ͖ͨ˕ w ੬ऑੑεΩϟφͷ࢖͍ํͷษڧʹͳΔ w ಈ࡞ςετʹ࢖͑Δ w ੬ऑੑͷݕূ؀ڥΛ͙͢ʹ࡞Εͳͯ͘΋ɺϋχʔϙο
τͰઃఆΛՃ͑Ε͹ɺ੬ऑੑεΩϟφΛ࢖͑Δ 12 metasploit→ https://www.exploit-db.com/exploits/43055/ ઃఆલ͸ΤΫεϓϩΠτࣦഊ ઃఆޙ͸ΤΫεϓϩΠτ੒ޭ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ϋχʔϙοτଆ w ߈ܸ௨৴Λͨ͘͞Μ࠾औͰ͖ͨ˕ w ௨৴಺༰͔Βɺϩά෼ੳτϨʔχϯά͕Ͱ͖Δ˞ w ੬ऑੑεΩϟφଆͰɺͲͷ੬ऑੑΛ࢖ͬͨ߈ܸͩͬ ͨͷ͔ௐ΂Δ͜ͱ͕Ͱ͖Δɻ 13
※WOWHoneypot ͷΞΫηεϩά͸ཁٻ಺༰ΛBASE64ͰΤϯίʔυͨ͠ܗͰه࿥͢Δɻ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ αΠόʔ൛ໃ६ͷ࣮ݧ·ͱΊ 14 ϋχʔϙοτͱ੬ऑੑεΩϟφ͸  win-win ͷؔ܎ʹͳΔ!

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ͓͠·͍ wͪΐͬͱ଴ͬͯ w08"41ͰͷൃදͩΑͶ w౰વɺ08"41;"1Ͱ΋ࢼ͍ͯ͠·͢ 15

ϋχʔϙοτͱ੬ऑੑεΩϟϯ 08"41;"1Ͱ࣮ݧͯ͠Έͨ w ະެ։ͷ808)POFZQPU7FSTJPOʹΑΔ݁Ռ 16 https://www.owasp.org/index.php/ZAP WOWHoneypotͷ Ϛον&Ϩεϙϯε ϧʔϧ͕গͳ͍

ϋχʔϙοτͱ੬ऑੑεΩϟϯ )BQQZ)POFZQPU 17 ←2018೥6݄9೔ ৽॓ޚԓ େԹࣨͰࡱӨ ৯஬২෺Ͱ͸ͳ͍ɻ ͓͠·͍

ハニーポットと脆弱性スキャン

ハニーポットと脆弱性スキャン

Kazuaki Morihisa

More Decks by Kazuaki Morihisa

Other Decks in Technology

Featured

Transcript

2018೥7݄23೔ OWASP Nagoya Chapter ϛʔςΟϯάୈ6ճൃදࢿྉ ϋχʔϙοτͱ ੬ऑੑεΩϟϯ @morihi_soc

ϋχʔϙοτͱ੬ऑੑεΩϟϯ XIPBNJ w ৿ٱ࿨ত !NPSJIJ@TPD w ຊۀ͸ωοτϫʔΫηΩϡϦςΟΤϯδχΞɾΞφϦετ w झຯͰϋχʔϙοτͷӡ༻Λ͢Δϋχʔϙολʔ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ϋχʔϙοτͱϋχʔϙολʔ w ϋχʔϙοτ )POFZQPU ͱ͸ɺ͋͑ͯ߈ܸΛ ड͚Δ͜ͱΛલఏͱͨ͠γεςϜͰ͢ɻ w ϋχʔϙοτ͕ه࿥͢ΔϩάΛ؍࡯͢Δ͜ͱͰɺ ੜͷ߈ܸ৘ใΛऩू͢Δ͜ͱ͕Ͱ͖·͢ɻ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ 4 808)POFZQPU঺հ ߈ܸऀ ϋχʔϙοτ ᶃअຐ͢ΔͰʙ GET /wordpress/wp-login.php HTTP/1.1 ᶅϩάΠϯϒϧʔτ߈ܸ΍

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ߈ܸऀͷࢹ఺ 5 ຖճखಈͰ߈ܸ͢Δͷ͸େมͩ Ұ఺ಥഁ͢Δඞཁ͸ͳ͍ ੬ऑੑΛ·ͱΊͯεΩϟϯ͍ͨ͠ ߈ܸऀ

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ͦΜͳͱ͖͸ɺ੬ऑੑεΩϟφ w ෳ਺ͷ੬ऑੑͷଘࡏ༗ແΛௐࠪͯ͘͠ΕΔπʔϧ w Φʔϓϯιʔεɾ༗ঈιϑτ΢ΣΞ΍αʔϏε͕ ଟ਺ఏڙ͞Ε͍ͯΔ w ઈରʹ੬ऑੑݟ͚ͭΔͱ͍͏Ϟνϕʔγϣϯ w

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ނࣄ w ʮͲΜͳ६΋ಥ͖௨͢ໃʯͱ w ʮͲΜͳໃ΋๷͙६ʯΛച͍ͬͯͨஉ͕ɺ w ٬͔ΒʮͦͷໃͰͦͷ६Λಥ͍ͨΒͲ͏ͳΔͷ͔ʯͱ  ໰ΘΕɺฦ౴Ͱ͖ͳ͔ͬͨͱ͍͏࿩ɻ 7

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ΍ͬͯΈͨ w /JLUPͰݕূ w ࣮ݧର৅ w 1ZUIPOͷIUUQTFSWFS w Կ΋͠ͳ͍8FCαʔό୅ද

ϋχʔϙοτͱ੬ऑੑεΩϟϯ σϞ 1ZUIPOͷIUUQTFSWFS w QZUIPONIUUQTFSWFSͰىಈ͢Δ 9 ৘ใ͸΄΅  औಘͰ͖ͳ͍

ϋχʔϙοτͱ੬ऑੑεΩϟϯ σϞ 808)POFZQPU w QZUIPOXPXIPOFZQPUQZͰىಈ͢Δ w ͨͩ͠ɺ*1ϒϥοΫϦετػೳΛແޮԽ͓ͯ͘͠  DPOpHUYUͰJQNBTLJOH5SVFʹ͢Δ 10 ←ઌ಄

ѹ౗తͰ͸ͳ͍͔ɺ զ͕ϋχʔϙοτ͸

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ੬ऑੑεΩϟφଆ w ؾ࣋ͪΑ͘߈ܸ͕Ͱ͖ͨ˕ w ੬ऑੑεΩϟφͷ࢖͍ํͷษڧʹͳΔ w ಈ࡞ςετʹ࢖͑Δ w ੬ऑੑͷݕূ؀ڥΛ͙͢ʹ࡞Εͳͯ͘΋ɺϋχʔϙο

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ϋχʔϙοτଆ w ߈ܸ௨৴Λͨ͘͞Μ࠾औͰ͖ͨ˕ w ௨৴಺༰͔Βɺϩά෼ੳτϨʔχϯά͕Ͱ͖Δ˞ w ੬ऑੑεΩϟφଆͰɺͲͷ੬ऑੑΛ࢖ͬͨ߈ܸͩͬ ͨͷ͔ௐ΂Δ͜ͱ͕Ͱ͖Δɻ 13

ϋχʔϙοτͱ੬ऑੑεΩϟϯ αΠόʔ൛ໃ६ͷ࣮ݧ·ͱΊ 14 ϋχʔϙοτͱ੬ऑੑεΩϟφ͸  win-win ͷؔ܎ʹͳΔ!

ϋχʔϙοτͱ੬ऑੑεΩϟϯ ͓͠·͍ wͪΐͬͱ଴ͬͯ w08"41ͰͷൃදͩΑͶ w౰વɺ08"41;"1Ͱ΋ࢼ͍ͯ͠·͢ 15

ϋχʔϙοτͱ੬ऑੑεΩϟϯ 08"41;"1Ͱ࣮ݧͯ͠Έͨ w ະެ։ͷ808)POFZQPU7FSTJPOʹΑΔ݁Ռ 16 https://www.owasp.org/index.php/ZAP WOWHoneypotͷ Ϛον&Ϩεϙϯε ϧʔϧ͕গͳ͍

ϋχʔϙοτͱ੬ऑੑεΩϟϯ )BQQZ)POFZQPU 17 ←2018೥6݄9೔ ৽॓ޚԓ େԹࣨͰࡱӨ ৯஬২෺Ͱ͸ͳ͍ɻ ͓͠·͍