沖ハック~のみぞうさんとハッキングチャレンジ☆~

Transcript

1. 1人１枚カードを受け取って、WiFiにつないでください 2025年10月4日

2. カードもってますか？ WiFiつながった？ はじめに

3. 講師の自己紹介 野溝のみぞう 趣味でセキュリティをやっている者です。 3 • 犬と謎解きとセキュリティ（特にオフェンシブ方 面）が好きです • OffSecLab Japan,CTF4G,

   ひよこまめ教習所 …コミュニティ活動をよくやってます • お気に入り：大きいチーズみたいなスーツケース

4. 実績 ハッキングの本を書いて 賞をもらいました 4

5. 本日のスケジュール 5 時間（だいたい） 内容 15:00～15:10 オープニング （前フリ・自己紹介・リーダー決め・ポータル登録） 15:10～15:50 ハンズオンタイム （解説を聞きながらみんなで手を動かそう）

   15:50～16:00 休憩 16:00～17:30 チャレンジタイム （CTFチャレンジ/チーム戦） 17:30～17:40 休憩 17:40～18:00 クロージング （表彰・軽く解説←状況によってはなくなるかも） ※トイレ休憩などは各自で自由にどうぞ

6. 本日のハッシュタグ 6 #沖ハック 写真撮影OK ※人物が映り込んだ場合は要配慮

7. 先に謝っておきます HackingLove -WiFiは インターネットに出る回線が貧弱です。 不都合がある場合は会場のWiFiに切り替えてインター ネットをご利用ください。 7

8. 先に謝っておきます その２ ハンズオンでやったことだけで チャレンジタイムは全部解けません 全て解説するのとか無理 8 チームで協力して乗り切ろう！資料にヒントが書いてあるかも！

9. ①自己紹介しよう ②話し合ってリーダーを決めてください というわけで頼れるチームメンバーと向き合うぜ リーダーの役割は主に タイムキープとコミュニケーション（盛り上げ）です！ 技術的につよつよである必要はありません もし、どーしても決まらなかったら… 今日いちばん早く起きた人がリーダーです

10. ポータル(CTFd）の登録について(1/2) 10 右上のRegisterからユーザー登録 メアドは適当にダミーのをいれてください （[email protected]とかそういうの） ユーザー名とパスワードは忘れないように

11. ポータル(CTFd）の登録について(2/2) 11 左側のJoin Teamをクリック すでに作成済のチームに参加する形です（Max4人） チーム名、チームパスワードは共通 チーム番号を入力します ←たとえばチーム１の場合はこう team1 team1

12. そもそもCTFってなんなの 12 CTF（Capture The Flag）とは、情報セキュリティ技術を 競うハッキングコンテストのことで、参加者はコンピュータ に関する知識や技術、発想力を駆使して、問題の答えとなる 「FLAG（フラグ）」と呼ばれる文字列を探し出します。 AIによる概要（だいたいあってる） フラグの例

    ：FLAG{get-the-flag}

13. ハンズオンタイム 15時50分まで （いけるとこまで）

14. 大切な注意事項 14 ハッキングは日本国内においては法律に抵触する可能性があります •不正アクセス禁止法（通称）違反 •ウイルス作成罪（通称） •電子計算機損壊等業務妨害罪 などなど

15. 15 以外には絶対やってはいけません 特別に許可を得た対象 自分が全責任を持って管理している対象 ・ ・ 大切な注意事項

16. ちょっと脱線 2024年サイバー警察局便りvol.13より 16 2023年に不正アクセス禁止法違 反でつかまった人の約７割は10代 ～20代 引用：https://www.npa.go.jp/bureau/cyber/pdf/R6_Vol.13cpal.pdf

17. 合法のハッキング（？）の流れ 17 ←NIST(アメリカ国立標準技術 研究所)が発行したセキュリ ティ監査に関する資料 NIST SP 800-115より 情報収集と攻撃実行をぐるぐる する。レポートも書く。

    情報収集（RECON）地味だけ どすごく大事 むしろハッキングは列挙が9割 （諸説あり） お仕事でやるときはペネトレーションテスト（PENTEST）って言い方をします。 ペネトレーションテストの流れ https://www.nist.gov/privacy-framework/nist-sp-800-115

18. 今回の設定（前提条件） • ネットワーク側の侵入は終わっている • ターゲットマシンのあるWiFiに入ることができたのでいよい よマシンに攻撃するぜ～みたいな感じ（リアリティは求めないで下さい） 18 ターゲットサーバたち 何台あるかは不明 脆弱なWiFi

    SSID:HackingLove DHCPでIPアドレス付与

19. まずは自分の位置を確認 とりま自分のIPアドレスを確認してみる 今回はDHCPでアドレスが振られているはず～ これで自分が今いるネットワークの範囲を把握してあたりをつける 19 #自分のIPアドレスを確認する（Linux） ip a #自分のIPアドレスを確認する（Windows） ipconfig

20. （参考）接続方法のちがい 20 ホストOS (Windowsなど) ゲストOS (Kaliなど) 仮想マシンを利用している場合は、接続方式が大きく分けて 2種類あります。 デフォルト（NAT接続）だとできないこともあったりします。 今日のところは大丈夫だけど覚えておくと良いです。

    ブリッジ接続 NAT接続 ゲストOSにDHCPのIPアドレスがふられる ホストOSにDHCPのIPアドレスがふられる Kaliから外に出る時はホストOS経由で出ていく構成 大抵の場合デフォルト設定はこっち

21. （参考）確認の方法 21 VirtualBoxの場合 設定＞ネットワーク VMware WorkStation Proの場合 設定＞ネットワークアダプタ

22. ターゲットはどこに？ 22 192.168.0.2 ～ 192.168.0.99 今回は特別に ターゲットサーバのIPアドレス範囲を開示します（運営の都合） 192.168.0.1はルータ 192.168.0.100以降は クライアント

23. ターゲットはどこに？（偵察） 23 # この範囲にどんなサーバがあるか確認する nmap 192.168.0.2-99 # masscanで素早く確認する（80番ポートのみ） sudo masscan

    ‒p80 192.168.0.2-192.168.0.99

24. わかったこと 24 # どんなサーバがあるか確認する 結果をシェアしてみよう 192.168.0.10 ←ポータル 192.168.0.55 ←？？？ 192.168.0.89

    ←ハック！今は一旦こっちをターゲットに

25. もうちょっとくわしく偵察 25 # サービス/OSのバージョン特定とデフォルトのスクリプトを実行する nmap -A 192.168.0.89 # 脆弱性を検出するためのスクリプトを実行する nmap

    --script vuln 191.168.0.89 # 特定のポートに絞って脆弱性の調査をする nmap -p 21 --script ftp 192.169.0.89 わりと誤検知/過検知も多いので、結果には誤差が生じる可能性もあります （そういうこともあります）

26. かるくサイトを見てみよう 26 # ブラウザを開いてアクセス http://192.168.0.89 サンタ大学 季節感ゼロですいません…

27. 快適に楽しむためのコツ 27 ブラウザなどの操作をするときはホストOSの方を使った方が動作が軽くて 快適に楽しめる可能性があります（仮想マシンが重い人はお試しあれ） ※もちろんすべて仮想マシン内で完結しても良いですが、こっちの方が動作が軽い人が多いよって話です ホストOSで 普段使ってるブラウザを起動する ターゲットマシンのIPアドレスや ポータルのIPアドレス 仮想マシンは

    コマンド入力専用にすると ストレスが減ります HackingLove-5G または HackingLove-2.4Gに接続

28. ポート別探索

29. FTP(ポート21) 29 # アノニマス（名無し）でつないでみよう ftp 192.168.0.89 anonymous （←パスワードを聞かれても何も入力せずにエンター） ls get

    <ファイル名> # 接続を切る exit ※昔は自分のメールアドレスを入力しろと言われてたらしい ※ftpコマンドを実行したディレクトリにファイルが落ちてきます。そのディレクトリに書き込み権限がないとエラーになります

30. 30 FTP(ポート21) # ファイルを開く cat <ファイル名> ちなみに、IDとパスワードが同じアカウントのことを 「ジョーアカウント」と呼びます

31. SSH(ポート22) 31 # sshを使ってリモートでログインする ←今日はこっち ssh <ユーザー名>@192.168.0.89 # sshを使って証明書でログインする ssh

    <ユーザー名>@192.168.0.89 -i <証明書ファイルのパス> # ログイン後ディレクトリを確認する ls -la # 接続を切る exit Are you sure you want to continue connecting (yes/no/[fingerprint])? って聞かれたら「yes」って入力します

32. SMB(ポート139と445) 32 # 共有の列挙 smbclient -L 192.168.0.89 （←パスワード聞かれるけど何も入力せずにエンター） # 接続する

    smbclient ¥¥¥¥192.168.0.89¥¥共有名 （←何も入力せずにエンター） ls get ファイル名 ＃ 接続を切る exit

33. 33 #lessコマンドで長いファイルを見る less <ファイル名> ↑↓キーで移動 終わりたいときは「q」 SMB(ポート139と445)

34. http（ポート80） 34 #ディレクトリの探索 dirb http://192.168.0.89 <好きな辞書ファイル> ※時間かかるので今日は非推奨です ※DirBusterやGoBusterという同種のツールもありますので 入ってる人は使ってもよさそう（GUIだったり早かったり）

35. Webを少しくわしく

36. WordPress • 全ウェブサイトの40％以上で使われ ているらしい • 古いバージョン/古いプラグイン • 脆弱なテーマ • 使う人のリテラシが低いことがあっ

    たりする ⇒ターゲットとして大変美味しい 36

37. サンタ大学のサイトを見てみよう 37

38. WordPress（デフォルト設定） なんとなくお約束的なものとして知っておくと役立つことがあります 38 # インストールディレクトリ /var/www/html （/var/www など場合もあるかも？） # 重要なファイルやディレクトリ

    /wp-admin 管理者ログイン画面(wp-login.phpにリダイレクト) /wp-content/uploads アップロードしたデータの保存領域 /wp-config.php DBとかの設定情報が書かれているファイル

39. WordPressの管理者画面をみる 39 ユーザー名とパスワードがわかればログインできるね

40. 辞書攻撃の話 40 辞書の選び方がすごく重要 むしろ辞書が10割。 リスト型攻撃と混同しがちだけとそこはわり とどうでもいい気もする（諸説あり） パスワードクラックのイメージ 7日間でハッキングをはじめる本 P77より引用

41. WordPressの診断ツールwpscan 41 # ユーザー探索 wpscan --url http://192.168.0.89 --enumerate u #

    パスワードを辞書攻撃 wpscan --url http://192.168.0.89 ‒U <ユーザー名> -P <辞書ファイル> [?] Do you want to update now? [Y]es [N]o, default: [N] って聞かれたら「N」って入力します

42. 他にもあるパスワードの破り方 42 ハッシュ値になっていても 解析可能なことがある。 レインボーテーブル HUMINT（スパイ活動） ソーシャルエンジニアリング。人をだまして聞き出すとかそういうのもかなり有効 ダンプスターダイビング（ゴミ箱あさりのかっこいい言い方）なども？ 7日間でハッキングをはじめる本 P112より引用

43. Webshell（ウェブシェル）ってなあに？ 43 Web経由でサーバのコマンドを実行す ることを可能にするバックドアの一種。 PHPやPythonなどで作られていて一 度サーバ内に侵入・設置されると外か ら任意のコマンドが実行可能になる。

44. 休憩 16:05まで

45. 再開

46. 今更ですが今日のコンテンツの紹介 46 ポータル（http://192.168.0.10）にアクセスしてください。 ハッキング・ラブ 皆さんはスパイという設定で HacKING株式会社に 潜入調査していただきます。 まあ詳しいことはRegulation ページを読んでください。

47. ハッカーの心構え 47 Try Harder! 「もっとがんばれ！」と煽るときのことば 1人だとしんどいかもしれないですが 今日はチーム戦なので楽しくやっていきましょう

48. 今日いちばん大事なこと 48 • 困ったときは1人で悩まず相談しよう • 解けた問題の答えや解法はチームに共有しておくといいことがあるかも • 紙とペンあります（必要な方はご自由にどうぞ） 協力と情報共有

49. その他もしかして 役立つかもしれない TIPS

50. あれ？つながらないな？と思ったら 50 WiFiが正しいか確認しよう 会場のWiFiからチャレンジタイムの環境 （192.168.0.XX）はつながりませんので注意 SSID名 SSID名 SSID名 SSID名 チャレンジタイムのWiFiは

    インターネットない表示になるかも？ インターネットに 出られるときの表示

51. MetasploitFlameworkの使い方 51 # 起動 msfconsole # 検索 search <キーワード> #

    設定が必要な項目を表示 show options 世の中のExploitコードを楽に使うためのツール（語弊がある）

52. 辞書ってどこにある？ kaliであればデフォルトでけっこう良い辞書があります 52 # ディレクトリ探索辞書 /usr/share/dirb/wordlists/***** など # 有名なパスワードリストのrockyouを使う sudo

    gzip -d /usr/share/wordlists/rockyou.txt.gz ※圧縮されてるので使うときは展開する

53. John the ripperの使い方 53 # shadowファイルを辞書攻撃で解析する場合 ## 解析用ファイルをつくる echo ʻハッシュʼ

    > hash.txt ## そのファイルに対して解析をする john --format=sha512crypt --wordlist=<辞書ファイル> hash.txt 人気のあるパスワード解析ツール（やや語弊がある）

54. John the ripperの使い方 54 ## 過去に解析した結果をもう一度見たいとき john --show hash.txt 人気のあるパスワード解析ツール（やや語弊がある）

55. John the ripperの使い方 55 # 暗号化されたzipファイルのパスワードを総当たりで解析する場合 ## 解析用ファイルをつくる zip2john <解析対象ファイル>.zip

    > hash.txt ## そのファイルに対して解析をする（桁数が短ければイケる） john --incremental=ASCII hash.txt

56. データベースのコマンド集 56 # mysqlに接続する mysql -u <ユーザー名> -p （パスワードを入力する） #

    データベースを見る SHOW DATABASES; # お目当てのデータベースを選択する USE <データベース名>; # テーブルを見る SHOW TABLES; # テーブルの中身を見る SELECT * FROM <テーブル名>;

57. WordPressのDBバックアップ 57 # バックアップの取り方（SSHログイン後にとるとき） mysqldump -u <ユーザー名> -p<パスワード> <DB名> >

    wordpress_bkup.sql ※-pの後にパスワードを直接記述するときは、スペースを空けずに記述する ※パスワードをコマンドラインに直接記述することは推奨されてない（historyに残ることがある） # バックアップの取り方（リモートからとるとき） mysqldump -h 192.168.0.XX -u <ユーザー名> -p --all-databases --ssl=0 > dump.sql ※dump.sqlというファイルができる

58. チャレンジタイム 17時30分まで Try Harder!