Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hack L33t Fighters Ⅱ #owaspsendai

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for yoshinori matsumoto yoshinori matsumoto
September 27, 2019
Technology
0
390

Hack L33t Fighters Ⅱ #owaspsendai

世界最強のWordPressを倒すゲームです

Avatar for yoshinori matsumoto

yoshinori matsumoto

September 27, 2019
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Avatar for yoshinori matsumoto ym405nm
0
320
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
720
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
190
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
870
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.1k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
590

Other Decks in Technology

See All in Technology
Postman v12 で変わる API開発ワークフロー (Postman v12 アップデート) / New API development workflow with Postman v12
Avatar for Yoichi Kawasaki yokawasa
0
120
僕、S3  シンプルって名前だけど全然シンプルじゃありません よろしくお願いします
Avatar for Yuuki Yamashita yama3133
1
210
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
Avatar for Masahiko Ebisuda ebibibi
0
120
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
Avatar for SMS tech sms_tech
3
740
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
Avatar for Kazuto Kusama jacopen
0
110
わからなくて良いなら、わからなきゃだめなの?
Avatar for kota oue kotaoue
1
340
NewSQL_ ストレージ分離と分散合意を用いたスケーラブルアーキテクチャ
Avatar for hacomono Inc. hacomono
PRO
4
330
Go標準パッケージのI/O処理をながめる
Avatar for matumoto matumoto
0
200
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
Avatar for GMO Flatt Security flatt_security
0
1.8k
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
Avatar for Visional Engineering & Design visional_engineering_and_design
0
150
AI時代のSaaSとETL
Avatar for Shu Suzuki shoe116
1
140
Shifting from MCP to Skills / ベストプラクティスの変遷を辿る
Avatar for Okuto Oyama yamanoku
4
840

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.2k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
200
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
260
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
310
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
280
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
830
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.5k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
550
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k

Transcript

  1. HackL33t Fighters Ⅱ For WordPress ym405nm

  2. ⾃⼰紹介 1 松本 悦宜(まつもと よしのり) Capy株式会社 脆弱性情報分析、サービス開発など 共著 WordPressプロフェッショナル養成読本 インターネット⽩書2015

    講演発表など WordCamp Kansai 2015, 2016 Black hat 2016 Arsenal, OWASP AppSec APAC https://corp.capy.me/ FIDO認定取得済み

  3. WordPressセキュリティ WordPressはPHP製のオープンソースのCMS(Contents Management System) 世界シェアトップ セキュリティ事例 • ログイン画⾯への攻撃 推測されやすいパスワードなどにより不正ログイン •

    WordPress本体への攻撃 ⾃動アップデートを無効にしている環境のみ発⽣する • テーマ/プラグインなどのサードパーティー製品への攻撃 WordPressが管理されていないサイトで発⽣する 2 ήʔϜܗࣜͰ8PSE1SFTTηΩϡϦςΟΛମݧ

  4. 本⽇の演習 20XX年、WordPress界への道。 その⾔葉が意味す るものはハックリートファイトでの勝者を指す。 最強のWordPressを⽬指すため、世界中で真剣勝負 が繰り広げられている。 世界中のWordPressを倒し、WordPress界最強は 誰になるのか。 果て無き戦いの⽕ぶたは今、切って落とされた︕ 3

  5. 本⽇の演習 • 今から4つの WordPress 環境をお渡しします。こ のWordPressを「倒す」ことで合⾔葉(フラグ) をゲットします。 4

  6. 演習環境 5 Round 1 Round 2 ・ ・ ・ ・

    ・ ・ Kali Linux Kali Linux ・ ・ ・ それぞれ 5環境 ・ ・ ・ Github HTTP Clone SSH スコア サーバ HTTPS みなさま

  7. ログイン⼿順(サーバ) 6 会場のみ

  8. ログイン⼿順(スコア) 7 アカウント登録 (初回) ※パスワードリマインダ機能はありませんのでご注意ください

  9. 回答⼿順 8     

  10. まずやること • スコアサーバにアクセスしてアカウントを作成す る • GUIからの環境 • CUIからの環境(Kaliへアクセスし、curlコマンド 等で1問⽬のサイトにアクセスできるかどうか確 認)

    • WPSCAN(Kaliにインストール&アップデート済 み)などを使⽤してやってみる 9

  11. 注意事項 本演習で使⽤した技術等を、他⼈の環境で使⽤する と法律違反として処罰の対象となる可能性がありま す。 同様に攻撃情報などをインターネットに公開すると 法律に触れる可能性があります。 本演習は法令遵守を誓います。 本件の配慮のため、サイトへの「攻撃」に関しては Kali Linux経由を使⽤するようにしてください。

    10 (Kali Linux からはインターネットに出られないような設定になっています)

  12. その他 • 演習の都合上アンチウィルス製品が誤検知する可 能性がありますのでご了承ください • それぞれ他の⽅と相談するのは問題ないですが、 スコアサーバのログインやフラグの⼊⼒は個⼈ご とに⾏ってください • 随時SNS投稿は可能ですが...

    • 以下のことは禁⽌します • WordPress訪問者に対する攻撃 • 他⼈への攻撃 • スコアサーバへの攻撃、不正⾏為 11

  13. その他 さっきできたばかりのお⼿製環境ですので、不具合 等ありますがご了承いただきたいと思います。 コピペが必要なものや、当⽇アナウンスするものは こちらに記載していきます。 12

  14. (HINT) WPSCANの使い⽅ とりあえずスキャン $ wpscan –-url (path) ユーザ名の推測 $ wpscan

    --url http://(PATH_TO_WORDPRESS) --enumerate u パスワードリストからのスキャン $ wpscan --url http://(PATH_TO_WORDPRESS) -P password_list.txt -U (user) ※ 今回は便宜上wpscan3.6系を使⽤ WPSCanによるWordPressの脆弱性スキャン https://www.slideshare.net/owaspnagoya/wpscanwordpress 13

  15. HackL33t Fighters Ⅱ For WordPress 解説編 ym405nm

  16. 解き⽅例 15 # 解き⽅ 1 パスワードが脆弱 WPSCANなどでユーザ名推測→配布されたパスワードリストでス キャン パスワードがわかるのでログインしてフラグを確認 2

    WordPress REST API の脆弱性をつく 参考 https://www.jpcert.or.jp/at/2017/at170006.html 3 プラグインのアップロードが認証なしで可能 バックドアなどをアップロードしフラグを取得 4 ここまで来た君なら⼤丈夫!あとは気合いで乗り切ろう!

  17. その他 今回の環境ソースコード https://github.com/ym405nm/hackl33t_fighters 16