第8回脆弱性診断入門

脆弱性診断入門？とっとるびー？　第 8 回 @ionis_h

はじめに雪の中、寒い中、お集り頂きありがとうございます

はじめに私の発表内では、内職は基本的に自由です
発表者は気弱で気が短い引っ込み思案なので内職をする際は、お静かにお願いします

はじめに今回、　難しい事や実践的な事は発表しません　それでも　他人の PC へ向けて試す事は禁止です

もくじ
自己紹介
脆弱性診断？
やってみよ〜

自己紹介 @ionis_h 普段はmacを使って

自己紹介 @ionis_h Xcode(macでの統合開発環境)さんが internal error や

自己紹介 @ionis_h 予期せぬエラーや

自己紹介 @ionis_h エラーメッセージすら出さずに無言で落ちなさるのでそのたびに Xcode を立ち上げ直すという簡単なお仕事をしています

自己紹介 @ionis_h （´・ω・｀）

自己紹介 @ionis_h 大学時代（C言語＋Ruby) 社会人数年目（Ruby) 社会人数年目（Objective-C) その間、サーバーの設定等、雑用をこなしてきました上司がチラホラ居るので大きな声では言えません。

自己紹介 @ionis_h まとめると
Excelで方眼紙が作れないタイプのSEです
普段はiPhoneアプリを開発しています
セキュリティとは、ほぼ無縁です

もくじ
自己紹介
脆弱性診断？
やってみよ〜

ぁ！

ぁ！
「セキュリティの事なら俺にまかせろ！」という方はいらっしゃいますか？

ぁ！発表を代わりにしませんか？僕はそろそろ寒くて帰りたいです（・▽・）

脆弱性診断？

脆弱性診断？攻撃コード等を使わず、危険な点がないか調べますいわゆるハッキングとの大きな違いは許可を貰っているか貰っていないかという点です決して他人のPCヘ向けて試さないでください

脆弱性診断？主にどういう手順で行うの？情報収集　今何が動いている？スキャン　ポートはどこが空いている？　何が利用出来る？ etc 攻撃（報告）

そういえばなんでセキュリティって常に穴があるの？

なんでセキュリティって常に穴があるの？ソフトもOSもPCも人間が作ったものです人間は思ってもないミスを作ってしまいますそこを突かれるとどうしようもありません

なんでセキュリティって常に穴があるの？例えば2002年頃の話題　 (HACKING: 美しき策謀より） OpenSSH
SSHプロトコルを利用するソフトウェア
2008年時点では世界で最も使用されるSSH実装

なんでセキュリティって常に穴があるの？例えば2002年頃の話題　 (HACKING: 美しき策謀より） OpenSSH if (id < 0 || id > = channels_alloc) { 上記の赤い部分が抜けていたため、一般権限で認証しているユーザーがシステム管理者特権を取れるようになってしまっていた

なんでセキュリティって常に穴があるの？笑い話　 (HACKING: 美しき策謀より）ランプの魔人が3個の願いを叶えてくれると男に言った

なんでセキュリティって常に穴があるの？笑い話　 (HACKING: 美しき策謀より）ランプの魔人が3個の願いを叶えてくれると男に言った男「10億ドルをくれ」ランプの魔人は札束を用意した

なんでセキュリティって常に穴があるの？笑い話　 (HACKING: 美しき策謀より）ランプの魔人が3個の願いを叶えてくれると男に言った男「2つ目の願いはフェラーリだ」ランプの魔人はフェラーリを用意した

なんでセキュリティって常に穴があるの？笑い話　 (HACKING: 美しき策謀より）ランプの魔人が3個の願いを叶えてくれると男に言った男「最後の願いは、女の子にモテモテにしてくれ」

なんでセキュリティって常に穴があるの？笑い話　 (HACKING: 美しき策謀より）ランプの魔人が3個の願いを叶えてくれると男に言った男「最後の願いは、女の子にモテモテにしてくれ」ランプの魔人は男をチョコレートに変えてしまった

なんでセキュリティって常に穴があるの？簡単なミスでも、表面上正しく動いていても、人が作成した以上、穴があるかもしれないまた簡単な勘違いで、予期せぬ穴になっているかもしれない

なんでセキュリティって常に穴があるの？対策する立場になったとする完全に防御をするためには、 HTTP, CSS, JavaScript, C, Java, Fortran, TCP, IP, SELinux, SSH, SMTP, Shell, Linux, Windows, Android, DHCP, DNS, NAS, Apache, Tomcat, … etc 全てを完全に把握する必要がある

なんでセキュリティって常に穴があるの？攻撃する立場になったとする何か 1 ジャンルだけ勝てばイイ。

なんでセキュリティって常に穴があるの？完全に防ぎきる事はなかなか難しいです。

もくじ
自己紹介
脆弱性診断？
やってみよ〜

やってみよ〜今回取り上げる手法でハッキング出来る事はまずありません。ですが、自分管理の PC 以外には行わないでください。勤務先・通学先等のPCにも禁止です。

やってみよ〜また、自学をしようと思う方は、学習対象とする環境を必ず外界と切断してください例えば、BurpSuiteを使った学習をする際に、該当ツールに関する記事にブログパーツがあったりする場合。そのブログパーツ配布元サーバーに診断をかけるミスを起こしたりします。

やってみよ〜（* ´ω｀）

今回使ったもの
BackTrack5
脆弱診断でよく出てくるディストリビューション
De-ice.net-1.100-1.0
Slax ベースのやられ役
http://www.de-ice.net/ とかがやっているプロジェクト
この手のやられ役は他にも色々あるのでこだわらなくても OK
VMwarePlayer
仮想マシン。 VirtualBox とかなんでもご自由に。

今回使ったもの
nmap
ポートスキャン等でよく使われる
hydra
オンラインでのパスワードクラックツール
john the ripper
オフラインでのパスワードクラックツール

今回の構成
仮想ネットワーク内
192.168.1.100 192.168.1.26 やられ役攻撃役

情報収集

nmap -PR -sn -n 192.168.1.*

情報収集 192.168.1.100ってなんだろ？

nmap -A -v -n -p 0-65535 192.168.1.100

情報収集ポートが空いてる
110 POP3
21 FTP
25 SMTP
22 SSH
143 IMAP
80 HTTP

情報収集

情報収集
メアドとかユーザー名っぽいよね

攻撃開始

ゆるそうなアカウント探し

ゆるそうなアカウント探しとりあえず、ゆるそうなアカウントしか釣れないユーザーリストとパスワードリスト作成したよ！（＾q＾

hydra -L user.list -P password.list -e ns ssh://192.168.1.100

攻撃開始
アカウントとパスワードが同じヤツ釣れたので、ログインをする

ssh -l bbanter 192.168.1.100

/etc/の下を覗いて
bbanterはsudoユーザーではない
/etc/shadowは見れない
/etc/passwdからアカウントの一覧を知る
/etc/groupからaadamsが wheel グループで在る事を知る
aadamsの権限が強いので攻撃対象に。

ここからSS撮り忘れました^q^v
一度sshを切断し、攻撃PCに戻る
先ほどと同じ様にhydraでaadamsに攻撃する
hydra -l aadams -p 　　　 /pentest/passwords/wordlists/darkc0de.list 　　 -e ns ssh://192.168.1.100

hydraに指定するパスワードファイル
ネット上に色々転がっている
　　　日本語向けのファイルなら　　　　サザエさん、昼ドラ、総理 … etc
/pentest/passwords/wordlists/darkc0de.list
　　　 backtrack に最初から入っている　　　 171 万単語程詰まっている　クラックには時間がかかります。時間測り忘れました。 1 万単語 5 分ぐらいだと思います。

音声のみでお楽しみください
めでたくaadamsのパスワードが nostradamus だと言う事が分かりました
後は再度、やられ役マシンに ssh でつなぐ
ssh -l aadams 192.168.1.100

sound only 02
ログインが出来たらとりあえず見よう
sudo cat /etc/shadow

sudo cat /etc/shadow

スクリーンショットはこまめに撮ろう
この後は表示した shadow ファイルをコピペで攻撃マシンに持って行くか
SCPで持って行くか
USBメモリを使うか
やられ役にJohn the ripperでもインストールするか
好きにしてください

皆大好きjohn the ripper

./john unshadow /root/shadow.txt
shadowファイルからrootのパスワードが取れちゃいましたね。
これでrootになれるようになったので、とりあえず目的達成です。

つまり？
nmap で同じネットワーク内のマシンを探索
楽しそうなマシンをnmapでscan
hydra でオンライン越しにログインアタック
ログインして得た情報から、権限の強そうなヤツに対象を変更してアタック
rootを奪えました！

だから？アカウントとパスワードが一致しているだとか。定期的にパスワードの変更を促したために、総当たり攻撃的に強度の弱いパスワードになっているアカウントが出てしまうとか。そういうのがあると、そこから狙われるので注意しましょう。

以上、ご清聴ありがとうございます。

おまけ
コロン -> SHIFT + ;
バーチカル -> SHIFT + ]
アスタリスク -> SHIFT + 8
要するに英字キーボードになっていても驚かないでください

第8回脆弱性診断入門

by Hiroyuki Takenaka on Feb 18, 2012

Accessibility

Categories

Upload Details

Usage Rights

1 Embed 1

Statistics

第8回脆弱性診断入門 Presentation Transcript