ハッキング解説 ウェブサイトを攻撃→管理者権限を奪うまで [Mr Robot CTF]

コワッ

(;`・д・´)
CC 1F B7

謎の法律ですよね。。ある程度攻撃方法を学ばないとどういったところを防御しないといけないかわからないのに

デマでなければ具体的な法律を教えて下さい。

@@MorningChoco​​⁠コメント主ではありませんが、
おそらく「不正アクセス禁止法」違反に該当するかと。
「NEC」や「Canon」、「ArchWiki」ではこの法律に抵触する可能性があると書かれています。
しかし、「日経クロテック」では「不正アクセスの予備的な行為と考えられ，不正アクセス禁止法違反には当たらないのが普通」と書いていて意見が別れています。

@@Candysweetcandy 専用の環境を自分でつくればいいじゃん。なんで自分が防御方法を学ぶために無関係な人が脅威を感じなきゃいけないの。

@@Candysweetcandy ポートスキャンとは言うなれば家のドアの施錠を確かめるような行為です。もし自分の家のドアを勝手にガチャガチャやっている人を発見して問い詰めたところ、「地域の防犯体制を高めるために戸締まりを確認したいだけだ。悪意はない」と返されたとして、信じられるでしょうか。実際にその人が善人であり良い意図を持っていたとしても、不審者にしか見えないでしょう。
ですからこれを法律で制限するのは自然な選択であるように私は思います。ハッキングを合法で学ぶ手段はいくらでもありますので、ぜひこちらの動画を参照してください：th-cam.com/video/Xtinp004mJw/w-d-xo.html

私の場合は学部の専攻がサイバーセキュリティだったのでペンテストのモジュールも１つはありましたが、実際の知識はほとんどCTFと自前の仮想環境での研究によるものです。大学で学んだのはほとんどCSの基礎理論とネットワークの事でした。
（なお、このコメントを読まれる学生の方がいることも想定して言及しておくと、学部の専門をサイバーセキュリティにしてしまうと修士に進む場合に選択肢が狭まるのでお勧めしません。日本の場合は院試があるので大きな問題はないかもしれませんが、欧州だと学部の単位で判断する大学院が多いので、自由がきかなくなります。コンピューターサイエンスを広く扱う専攻を推奨します。）
実践的知識を学ぶにはCTFに取り組むのが一番だと思います。CTFと言っても色々ありますが、HTBやTryHackMeのような練習用のマシンにアクセスにでき、解説やコミュニティの質が高く充実しているものを勧めます。この２つのCTFプラットフォームは無料で始められ、有料プランもそこまで高額ではないです。OSCPという有名な試験とセットになっているOffSecのコースもあるのですが、これは非常に高額な上に深堀りするわけではなくラボにアクセス出来る期間も限られているため、金銭的に余裕があるか、会社の補助を受けられる方向けと思います。
この事については動画で詳しく扱おうと思って返信していなかったのですが、他に投稿したい動画も多くしばらく出せそうにないので、今更ですがこの場で返信させていただきました。
※追記
このコメントに返信されている内容が管理画面では確認出来るに関わらず、コメント欄に公開されていない状況です。コメント規制等は設定していないため、TH-cam側の不具合と思われます。せっかく丁寧な返信を頂いたにも関わらず申し訳ないです。

@ とても丁寧な返信ありがとうございますm(_ _)m
自分も情報分野で修士まで出ていますがペネトレーションテストなど基本的な単語も知らなくてやはり違う畑だなぁと実感しました笑
名前だけは聞いたことありましたがCTFはそんなに実践的な競技だったんですね！
学生が興味を持つための入り口なのかと思ってましたが、プロが最も実践的知識を学ぶのに最適というほどとは驚きました。
OffSecのOSCPのコース(PEN-200)本当に高いですね笑(日本円で35万円)
とは言っても自分がいるネットワーク系の講座でも似たような値段なのでまさしく企業の資格取得支援向けのプランって感じました。
日本企業に勤める人が会社ブログで受験記を書かれてたので日本企業でも評価はされてそうに感じました。
わざわざ返信下さりありがとうございました。

@
とても丁寧な返信ありがとうございますm(_ _)m
自分も情報分野で修士まで出ていますがペネトレーションテストなど基本的な単語も知らなくてやはり違う畑だなぁと実感しました笑
名前だけは聞いたことありましたがCTFはそんなに実践的な競技だったんですね！
学生が興味を持つための入り口なのかと思ってましたが、プロが最も実践的知識を学ぶのに最適というほどとは驚きました。
OffSecのOSCPのコース(PEN-200)本当に高いですね笑(日本円で35万円)
とは言っても自分がいるネットワーク系の講座でも似たような値段なのでまさしく企業の資格取得支援向けのプランって感じました。

@@JunTakemura
とても丁寧な返信ありがとうございますm(_ _)m
自分も情報分野で修士まで出ていますがペネトレーションテストなど基本的な単語も知らなくてやはり違う畑だなぁと実感しました笑
名前だけは聞いたことありましたがCTFはそんなに実践的な競技だったんですね！
学生が興味を持つための入り口なのかと思ってましたが、プロが最も実践的知識を学ぶのに最適というほどとは驚きました。
OffSecのOSCPのコース(PEN-200)本当に高いですね笑(日本円で35万円)
とは言っても自分がいるネットワーク系の講座でも似たような値段なのでまさしく企業の資格取得支援向けのプランって感じました。
既に色んな疑問について動画を作成して下さってたんですね！
ありがとうございます！
セキュリティ分野で日本語でこんなに具体的で分かりやすい動画はTH-camでは中々見ないので、これをきっかけに勉強を始める学生などもいると思います！
これからも応援してます！

dockerを使っているとrootを手に入れてもコンテナの中のものにすぎないので、本動画で用いた手段ではホストマシンのrootにはたどり着けません。
ただ設定次第では侵入手段があります。例えばdocker socketがコンテナにマウントされているとroot権限を持つdocker daemonを動かせてしまうので、簡単にホストマシンのrootが取れます。一部のソフトウェアがこの設定を要求していたり、CI/CDのチュートリアルで便利な設定として紹介されていることがあるため、起こりやすい脆弱性です。
vmの場合はより難しいですが、共有フォルダの設定次第では（例えば利便性を優先してホームディレクトリを共有してしまっているような場合）ホストマシンに侵入することは可能です。

むしろDDOS攻撃などでログを観れない状況(観れても実質使えない)を造ってその裏でこっそりハッキングっていう手口もありますね

Kali Linuxじゃないですかね。ツールが揃ってておすすめですよ

普通はIP制限してるから無理だと思いますよ

​@@ノーム-i5h そうなんですかね。WordPressのログイン画面に関しては、国内からであれば表示されるので頑張れば入れてしまいそうですw

@@mizuchin36 そんな簡単に入れるなら誰もワードプレスなんて使いませんよ
今回の例はかなりザルになるように甘々なセキュリティにしてるだけです

@@ノーム-i5h​​⁠​​⁠それはそうですよね笑　ありがとうございます😊自分で環境作って試してみます。

動画内で使用した手法が現代のWordPressにそのまま通用するわけではありません。WordPressは現在でも３〜４割のウェブサイトで使われていますし、サイバーセキュリティの専門家も多くの人が利用しています。ですから適切に利用すれば安全に使うことが出来ます。
安全な利用法に関しての動画も作成しましたのでぜひご覧ください: [安全なWordPressの使い方: 最新版WPに対するハッキングの手口と防衛方法](th-cam.com/video/jgUU02o2jag/w-d-xo.html)

次の動画「合法でハッキングする方法３選」で少しだけ触れましたが、補足しますと、VPSを提供している企業によっては問題になる可能性があります。現実的には、今回動画で扱った程度の手法であればその可能性は低いと思いますが、保証することは出来ませんので、提供企業に確認を取るのが確実です。
二度手間になってしまう面もありますが、vmで同一内容のwebサイトを条件を似せてホストする手もありますので、そちらもご検討ください。

サーバー会社運営してるから言えるけど本当にやめてくれ...
VPSとかホスティングサーバーのIPアドレスがマルウェア感染したり、BotNetに使われたり、ハニーポットとか攻撃のシミュレーションに使われてIPアドレスが汚れると会社のIPアドレス評価が下がる、知り合いのサーバー会社はVPSを安売りして儲けた結果ユーザーに上記の様な使われ方して、会社のIPアドレス全体がブラックリスト入りして健全な一般利用者のWebサイトがGoogleから削除される事態になった。
VPSとかレンタルサーバーは会社の所有物を顧客が借りてるだけであって顧客の所有物ではない事を忘れずに。

失礼します。
1. パスワードをメモする用途であれば、実際に紙にメモを行い、その紙を金庫の中に保管しておくのが一番望ましい管理方法ですが、PC内のファイルにメモをする場合はそのファイル自体に暗号化を掛け、暗号化パスワードを覚えておくか紙に書いて保管しておくとよいと思います。
2. パスワードをユーザーネーム欄に打ち込んだとしても、運営している団体にログが記録されるだけであり、ログが流出すること自体そもそも稀なので、大した問題ではないと思います。
3. すみません、「コマンドとして実行」の意味が解りませんでした。何かしらの特定のサービスでの実行でしょうか？それともPCでのソフトの実行ですか？

パスワード管理については今後動画で詳しく扱いたいと思っています。
基本としては、plaintext(暗号化されていない文章)をコンピュータ上に残すのは攻撃者にとって格好の的になりますのでおすすめしません。日常的に使用するOSの場合、password managerを利用することを推奨します。password managerならば人力では管理出来ない大量の強力なパスワードを自動生成・管理出来ますし、パスワード入力も自動化できるため入力時のミスを防げます。
懸念としてはpassword managerがいわゆるsingle point of failureになることなのですが、password managerを提供する企業またはコミュニティは他のサービスに比べても非常に強力な対策を取っています。このあたりの技術についてもパスワード管理の動画で触れる予定です。

お二方とも回答していただいて本当にありがとうございます！コメント欄で返答があると思っていなかったので恐縮です。やはり、PCにメモはよくないのですね。
重要なパスワードは紙にメモして、それを自作の文字列変換システムに通すという謎の対策（泥棒対策のつもりです笑）をしているのですが、開発中はパスワードを打ち込む機会が多いので、PCにメモしないとやってられなかったりするのですよね。。
個人でwebシステムを開発している時に不安に思っていたことですが、答える価値のある質問かそうでないのかも分からなかったので、もし、動画になるならと思い質問させていただきました。
パスワード管理についての動画、楽しみにしてます！ありがとうございます！

どんなとこ気づいてんねん

まあこんな真正面からの突破も少ないと思うけど、仮にあるとすれば、IDかパスワードのどちらかは正しいと仮定して進めていくのが実際の攻撃パターンじゃないかな
リバースブルートフォースなんてのもあるし
IPアドレスも偽装しようと思えば偽装できるので、だから最近よくある「ロボットか人間か」みたいな認証が根本的な対策として有効

失礼します。
1. ユーザ名とパスワードを特定する際は、有り得る限りのユーザ名とパスワードの組み合わせを試行します。(ブルートフォース)
ですが、あらかじめユーザ名をよくありえそうなユーザ名(admin, etc...)で固定しておき、そこからパスワードを割り出すという手法もあります。もしくは逆に脆弱なパスワードを固定しておき、ユーザ名を割り出すという手法もあります。
さらに言うと、あらかじめその人のSNSの投稿などから、有り得そうな文字列（誕生日、ペットの名前etc...）などをリストアップしておき、その文字列をつなげたりしてログイン試行をするという手法もあります。（辞書型攻撃）
2. そうです。実際にやる場合は多分弾かれます。ですが時間を置いたり、パブリックIPアドレスを変えたり（VPSの場合）して攻撃する手法もあります。

今回の動画で使ったのはHydraを用いた原始的な辞書攻撃であり、現代の多くのサービスではrate limitingによってすぐに弾かれます。ただrate limitingも実装方法によっては付け入る隙があり、例えば2019年にはInstagramのrate limitingの設定が甘かったために、複数のIPアドレスを用いて攻撃する手法によって、リカバリー用パスワードを短時間でクラック出来る脆弱性がありました。大手サービスでも直近５年でこのような問題が見つかっているわけですから、似たような問題のあるサービスはまだまだたくさんあります。
このような正面突破的な方法の他にも、ログイン認証自体を回避するとか、cookieやtokenを悪用するとか、複数のサービスを狙っていくという方法もあります。またフィッシングによる被害も非常に多いです。
現代的なアカウントハックには多種多様な方法がありこの場で網羅することは出来ませんが、今後いくつかの手法については動画で扱っていく予定です。

プロキシばんざい

これ使われてんのはkali linuxだよ

流石に釣りだよな？

解説している攻撃対象はハッキング練習用の自前のローカルマシンなので法的に問題ない

確かに犯罪にも活用できる手法ではある