今回は本を参考にしながらTryHackMeで遊んでみました。
参考書
スポンサードリンク
開発環境
OS
- Virtual Box
- Kali Linux
ソフトウェア
- Burp Suite
- Kerbrute
- dirp
など
※Kali Linuxにプリインストールされていました。
必要な知識
実際にハッキングしながら知識をつけることも大事ですがあらかじめ知っておいた方が良い知識も多かったです。
- Linuxのシェルスクリプト
- ファイルの権限
- HTML, CSS, Javascriptのようなフロントエンドの知識
- ハッシュ値やハッシュ関数
- sshやftpなどのネットワーク関連
プログラミングをまったくやったことがなければかなり難しいだろうなと感じました。
ハッキングの流れ
ハッキングの流れは大まかにこのような感じでした。
- nmapを使い、サーバー全体を偵察
- 侵入経路の探索
開いているポートから侵入できないか試してみる - 脆弱性検索
CVEで脆弱性を調べる - アクセス
dirpやJavaScriptの調査などで直接リンクが貼られていない公開領域を探す。
総当たり攻撃やレインボーテーブルなどを使いパスワードを解除する。 - 権限昇格
権限がない場合、権限昇格を試みる - 文書やフラグをゲット
TryHackMeの場合は誘導があるのでそれに乗れば最後までたどり着くと思います。
経験の量が必要
経験を重ねれば「このファイルにこの権限があるのは怪しい」などわかるらしいのですが、経験が必要だなと感じました。
ハッキング体験をしてみて
ブラックハッカーがマシンに侵入する手口の一部がわかったので自分のセキュリティ対策にもなったなと思いました。
TryHackMeはゲーム感覚で楽しく学べたので良い体験でした。
セキュリティ関連も勉強したいと感じました。
今後やってみたいこと
ハッキング・ラボ
1000ページ以上もあり、かなり膨大ですが実戦形式で学べて面白そうです。
CpawCTF
暗号解読やネットワークの復元などをすることでフラグを獲得し、スコアが計算されるサイト
ただし必要なソフトウェアがいくつもあるのでちょっと面倒そうです。
コメント