Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hack L33t Fighters Ⅱ #owaspsendai

Hack L33t Fighters Ⅱ #owaspsendai

世界最強のWordPressを倒すゲームです

yoshinori matsumoto

September 27, 2019
Tweet

More Decks by yoshinori matsumoto

Other Decks in Technology

Transcript

  1. HackL33t Fighters Ⅱ
    For WordPress
    ym405nm

    View Slide

  2. ⾃⼰紹介
    1
    松本 悦宜(まつもと よしのり)
    Capy株式会社
    脆弱性情報分析、サービス開発など
    共著
    WordPressプロフェッショナル養成読本
    インターネット⽩書2015
    講演発表など
    WordCamp Kansai 2015, 2016
    Black hat 2016 Arsenal, OWASP AppSec APAC
    https://corp.capy.me/
    FIDO認定取得済み

    View Slide

  3. WordPressセキュリティ
    WordPressはPHP製のオープンソースのCMS(Contents Management
    System)
    世界シェアトップ
    セキュリティ事例
    • ログイン画⾯への攻撃
    推測されやすいパスワードなどにより不正ログイン
    • WordPress本体への攻撃
    ⾃動アップデートを無効にしている環境のみ発⽣する
    • テーマ/プラグインなどのサードパーティー製品への攻撃
    WordPressが管理されていないサイトで発⽣する
    2
    ήʔϜܗࣜͰ8PSE1SFTTηΩϡϦςΟΛମݧ

    View Slide

  4. 本⽇の演習
    20XX年、WordPress界への道。 その⾔葉が意味す
    るものはハックリートファイトでの勝者を指す。
    最強のWordPressを⽬指すため、世界中で真剣勝負
    が繰り広げられている。
    世界中のWordPressを倒し、WordPress界最強は
    誰になるのか。
    果て無き戦いの⽕ぶたは今、切って落とされた︕
    3

    View Slide

  5. 本⽇の演習
    • 今から4つの WordPress 環境をお渡しします。こ
    のWordPressを「倒す」ことで合⾔葉(フラグ)
    をゲットします。
    4

    View Slide

  6. 演習環境
    5
    Round 1
    Round 2






    Kali Linux
    Kali Linux



    それぞれ
    5環境



    Github
    HTTP
    Clone
    SSH
    スコア
    サーバ
    HTTPS
    みなさま

    View Slide

  7. ログイン⼿順(サーバ)
    6
    会場のみ

    View Slide

  8. ログイン⼿順(スコア)
    7
    アカウント登録
    (初回)
    ※パスワードリマインダ機能はありませんのでご注意ください

    View Slide

  9. 回答⼿順
    8



    View Slide

  10. まずやること
    • スコアサーバにアクセスしてアカウントを作成す

    • GUIからの環境
    • CUIからの環境(Kaliへアクセスし、curlコマンド
    等で1問⽬のサイトにアクセスできるかどうか確
    認)
    • WPSCAN(Kaliにインストール&アップデート済
    み)などを使⽤してやってみる
    9

    View Slide

  11. 注意事項
    本演習で使⽤した技術等を、他⼈の環境で使⽤する
    と法律違反として処罰の対象となる可能性がありま
    す。
    同様に攻撃情報などをインターネットに公開すると
    法律に触れる可能性があります。
    本演習は法令遵守を誓います。
    本件の配慮のため、サイトへの「攻撃」に関しては
    Kali Linux経由を使⽤するようにしてください。
    10
    (Kali Linux からはインターネットに出られないような設定になっています)

    View Slide

  12. その他
    • 演習の都合上アンチウィルス製品が誤検知する可
    能性がありますのでご了承ください
    • それぞれ他の⽅と相談するのは問題ないですが、
    スコアサーバのログインやフラグの⼊⼒は個⼈ご
    とに⾏ってください
    • 随時SNS投稿は可能ですが...
    • 以下のことは禁⽌します
    • WordPress訪問者に対する攻撃
    • 他⼈への攻撃
    • スコアサーバへの攻撃、不正⾏為
    11

    View Slide

  13. その他
    さっきできたばかりのお⼿製環境ですので、不具合
    等ありますがご了承いただきたいと思います。
    コピペが必要なものや、当⽇アナウンスするものは
    こちらに記載していきます。
    12

    View Slide

  14. (HINT) WPSCANの使い⽅
    とりあえずスキャン
    $ wpscan –-url (path)
    ユーザ名の推測
    $ wpscan --url http://(PATH_TO_WORDPRESS) --enumerate u
    パスワードリストからのスキャン
    $ wpscan --url http://(PATH_TO_WORDPRESS) -P
    password_list.txt -U (user)
    ※ 今回は便宜上wpscan3.6系を使⽤
    WPSCanによるWordPressの脆弱性スキャン
    https://www.slideshare.net/owaspnagoya/wpscanwordpress
    13

    View Slide

  15. HackL33t Fighters Ⅱ
    For WordPress
    解説編
    ym405nm

    View Slide

  16. 解き⽅例
    15
    #
    解き⽅
    1
    パスワードが脆弱
    WPSCANなどでユーザ名推測→配布されたパスワードリストでス
    キャン
    パスワードがわかるのでログインしてフラグを確認
    2
    WordPress REST API の脆弱性をつく
    参考 https://www.jpcert.or.jp/at/2017/at170006.html
    3
    プラグインのアップロードが認証なしで可能
    バックドアなどをアップロードしフラグを取得
    4
    ここまで来た君なら⼤丈夫!あとは気合いで乗り切ろう!

    View Slide

  17. その他
    今回の環境ソースコード
    https://github.com/ym405nm/hackl33t_fighters
    16

    View Slide