Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hack L33t Fighters Ⅱ #owaspsendai

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for yoshinori matsumoto yoshinori matsumoto
September 27, 2019
Technology
0
390

Hack L33t Fighters Ⅱ #owaspsendai

世界最強のWordPressを倒すゲームです

Avatar for yoshinori matsumoto

yoshinori matsumoto

September 27, 2019
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Avatar for yoshinori matsumoto ym405nm
0
320
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
720
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
190
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
870
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.2k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
590

Other Decks in Technology

See All in Technology
Kubernetesにおける推論基盤
Avatar for ry ry
1
380
Go標準パッケージのI/O処理をながめる
Avatar for matumoto matumoto
0
210
実践 Datadog MCP Server
Avatar for 株式会社ヌーラボ nulabinc
PRO
2
190
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
16
410k
非情報系研究者へ送る Transformer入門
Avatar for Ryo Ishiyama rishiyama
11
7.5k
Shifting from MCP to Skills / ベストプラクティスの変遷を辿る
Avatar for Okuto Oyama yamanoku
4
850
SRE NEXT 2026 CfP レビュアーが語る聞きたくなるプロポーザルとは?
Avatar for Yuta Kawasaki yutakawasaki0911
1
320
Abuse report だけじゃない。AWS から緊急連絡が来る状況とは?昨今の攻撃や被害の事例の紹介と備えておきたい考え方について
Avatar for kazzpapa3 kazzpapa3
1
690
決済サービスを支えるElastic Cloud - Elastic Cloudの導入と推進、決済サービスのObservability
Avatar for suzukij suzukij
2
640
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
Avatar for kt2 kt2mikan
0
180
Dr. Werner Vogelsの14年のキーノートから紐解くエンジニアリング組織への処方箋@JAWS DAYS 2026
Avatar for Hiroshi Hayakawa (p0n) p0n
1
130
銀行の​内製開発にて​2つの​プロダクトを​1つのチームで​スクラムしてみてる​話
Avatar for koba1210 koba1210
1
120

Featured

See All Featured
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.4k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
480
Done Done
Avatar for chrislema chrislema
186
16k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Scaling GitHub
Avatar for Zach Holman holman
464
140k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
220
Docker and Python
Avatar for Tania Allard trallard
47
3.8k
Visualization
Avatar for Eitan Lees eitanlees
150
17k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
75
11k

Transcript

  1. HackL33t Fighters Ⅱ For WordPress ym405nm

  2. ⾃⼰紹介 1 松本 悦宜(まつもと よしのり) Capy株式会社 脆弱性情報分析、サービス開発など 共著 WordPressプロフェッショナル養成読本 インターネット⽩書2015

    講演発表など WordCamp Kansai 2015, 2016 Black hat 2016 Arsenal, OWASP AppSec APAC https://corp.capy.me/ FIDO認定取得済み

  3. WordPressセキュリティ WordPressはPHP製のオープンソースのCMS(Contents Management System) 世界シェアトップ セキュリティ事例 • ログイン画⾯への攻撃 推測されやすいパスワードなどにより不正ログイン •

    WordPress本体への攻撃 ⾃動アップデートを無効にしている環境のみ発⽣する • テーマ/プラグインなどのサードパーティー製品への攻撃 WordPressが管理されていないサイトで発⽣する 2 ήʔϜܗࣜͰ8PSE1SFTTηΩϡϦςΟΛମݧ

  4. 本⽇の演習 20XX年、WordPress界への道。 その⾔葉が意味す るものはハックリートファイトでの勝者を指す。 最強のWordPressを⽬指すため、世界中で真剣勝負 が繰り広げられている。 世界中のWordPressを倒し、WordPress界最強は 誰になるのか。 果て無き戦いの⽕ぶたは今、切って落とされた︕ 3

  5. 本⽇の演習 • 今から4つの WordPress 環境をお渡しします。こ のWordPressを「倒す」ことで合⾔葉(フラグ) をゲットします。 4

  6. 演習環境 5 Round 1 Round 2 ・ ・ ・ ・

    ・ ・ Kali Linux Kali Linux ・ ・ ・ それぞれ 5環境 ・ ・ ・ Github HTTP Clone SSH スコア サーバ HTTPS みなさま

  7. ログイン⼿順(サーバ) 6 会場のみ

  8. ログイン⼿順(スコア) 7 アカウント登録 (初回) ※パスワードリマインダ機能はありませんのでご注意ください

  9. 回答⼿順 8     

  10. まずやること • スコアサーバにアクセスしてアカウントを作成す る • GUIからの環境 • CUIからの環境(Kaliへアクセスし、curlコマンド 等で1問⽬のサイトにアクセスできるかどうか確 認)

    • WPSCAN(Kaliにインストール&アップデート済 み)などを使⽤してやってみる 9

  11. 注意事項 本演習で使⽤した技術等を、他⼈の環境で使⽤する と法律違反として処罰の対象となる可能性がありま す。 同様に攻撃情報などをインターネットに公開すると 法律に触れる可能性があります。 本演習は法令遵守を誓います。 本件の配慮のため、サイトへの「攻撃」に関しては Kali Linux経由を使⽤するようにしてください。

    10 (Kali Linux からはインターネットに出られないような設定になっています)

  12. その他 • 演習の都合上アンチウィルス製品が誤検知する可 能性がありますのでご了承ください • それぞれ他の⽅と相談するのは問題ないですが、 スコアサーバのログインやフラグの⼊⼒は個⼈ご とに⾏ってください • 随時SNS投稿は可能ですが...

    • 以下のことは禁⽌します • WordPress訪問者に対する攻撃 • 他⼈への攻撃 • スコアサーバへの攻撃、不正⾏為 11

  13. その他 さっきできたばかりのお⼿製環境ですので、不具合 等ありますがご了承いただきたいと思います。 コピペが必要なものや、当⽇アナウンスするものは こちらに記載していきます。 12

  14. (HINT) WPSCANの使い⽅ とりあえずスキャン $ wpscan –-url (path) ユーザ名の推測 $ wpscan

    --url http://(PATH_TO_WORDPRESS) --enumerate u パスワードリストからのスキャン $ wpscan --url http://(PATH_TO_WORDPRESS) -P password_list.txt -U (user) ※ 今回は便宜上wpscan3.6系を使⽤ WPSCanによるWordPressの脆弱性スキャン https://www.slideshare.net/owaspnagoya/wpscanwordpress 13

  15. HackL33t Fighters Ⅱ For WordPress 解説編 ym405nm

  16. 解き⽅例 15 # 解き⽅ 1 パスワードが脆弱 WPSCANなどでユーザ名推測→配布されたパスワードリストでス キャン パスワードがわかるのでログインしてフラグを確認 2

    WordPress REST API の脆弱性をつく 参考 https://www.jpcert.or.jp/at/2017/at170006.html 3 プラグインのアップロードが認証なしで可能 バックドアなどをアップロードしフラグを取得 4 ここまで来た君なら⼤丈夫!あとは気合いで乗り切ろう!

  17. その他 今回の環境ソースコード https://github.com/ym405nm/hackl33t_fighters 16