Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【ええんやで#59】Mutillidaeのインストールを見よう

zash_shibainu
March 18, 2018
490

 【ええんやで#59】Mutillidaeのインストールを見よう

#脆弱性診断ええんやで

zash_shibainu

March 18, 2018
Tweet

More Decks by zash_shibainu

Transcript

  1. ハンドル 柴雑種(@zash_shibainu) 本名 柴田 諭史(Shibata,satoshi) 職業 フリーランス(来月から、もしくは再来月から) • インフラ系 •

    セキュリティ(自称) 職歴 • 3年ぐらい、プログラマ(C、Java、PL/SQL、VB…) • 10年ぐらい、大手製造メーカの情報子会社で  インフラ系エンジニア(*nux、IBM、Oracle、JP1など) • 半年ぐらいセキュリティエンジニア(SIEM?SOC?) 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  2. ハードウェア VMとかなかった時代(占有) OS MW MW App App App 全部 占有

    コンテナの時代(OS共有) ハードウェア OS コンテナ MW コンテナ OSカーネル 共有 MW App App App App 第59回 脆弱性診断ええんやで(^^) for ルーキーズ VMができた時代(HW共有) ハードウェア ハイパーバイザ OS OS MW MW MW App App App App HW 共有
  3. VMの時代: VMイメージ=OS+MW+Apps 仮にOS:1.0GB + MW:500MB + Apps:100MB = 1.6GB共有 コンテナの時代:

    コンテナ=MW+Apps=600MB! OSの1.0GBは共有しなくて(・∀・)イイ!! Linuxさえ動けばおk! コンテナ自体はLinuxの技術。 Dockerは共通フォーマットみたいな感じ(JSONとか YAMLとか) 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  4. AlpineLinux 4MiBぐらい!! MariaDB MySQLでもいいけど趣味 (こっちが本家と思ってる) ApacheHTTP + PHP DockerHub Alpine

    リポジトリ SourceForge unzip / wget apk (yum/apt相当) mutillidae.zip mutillidae wget unzip ユーティリティも最小限 (デフォじゃ入ってない) 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  5. まずはターミナルに繋ぐ&Dockerのインストール。 [root@cent7targ ~]# yum install -y docker (最新版のDocker使いたい場合はリポジトリADDしてください) ====================================================================================== Package

    アーキテクチャー バージョン リポジトリー 容量 ====================================================================================== インストール中: docker x86_64 2:1.12.6-68.gitec8512b.el7.centos extras 15 M トランザクションの要約 ====================================================================================== インストール 1 パッケージ 総ダウンロード容量: 15 M インストール容量: 52 M インストール: docker.x86_64 2:1.12.6-68.gitec8512b.el7.centos 完了しました! [root@cent7targ ~]# 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  6. Dockerサービスの起動。 [root@cent7targ ~]# systemctl start docker [root@cent7targ ~]# systemctl enable

    docker [root@cent7targ ~]# systemctl status docker • docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: active (running) since 月 2018-01-22 19:07:24 JST; 1min 20s ago Docs: http://docs.docker.com Main PID: 2236 (dockerd-current) 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  7. 予め作っておいたので、DockerHubからPullします。 [root@cent7targ ~]# docker pull zash11o/mutillidae2017 Using default tag: latest

    Trying to pull repository docker.io/zashshibainu/owasp-mutillidae-2017 ... latest: Pulling from docker.io/zashshibainu/owasp-mutillidae-2017 578b327bb460: Downloading 535.1 kB/67.09 MB 058d1a44bab8: Download complete 9c54cfa9684f: Waiting ~暫しかかります~ [root@cent7targ ~]# docker images REPOSITORY TAG IMAGE ID CREATED SIZE docker.io/zash11o/mutillidae2017 latest a2496b33e26c 49 minutes ago 374.8 MB mutillidae2017 があればおk 第59回 脆弱性診断ええんやで(^^) for ルーキーズ
  8. Dockerコンテナ起動。 [root@cent7targ ~]# docker run -d -p 60080:80 \ docker.io/zash11o/mutillidae2017

    c0d9a1f6e567197b6376c4cd5452c91ccf734117a71fce74ed0f2a492f37ef51 [root@cent7mgr mutillidae2017]# -pオプション:  ポートバインド:   ホストの60080にアクセスすると   コンテナの80番にリダイレクト 第59回 脆弱性診断ええんやで(^^) for ルーキーズ