Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Hack L33t Fighters Ⅱ #owaspsendai

Avatar for yoshinori matsumoto yoshinori matsumoto
September 27, 2019
Technology
0
380

Hack L33t Fighters Ⅱ #owaspsendai

世界最強のWordPressを倒すゲームです

Avatar for yoshinori matsumoto

yoshinori matsumoto

September 27, 2019
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Avatar for yoshinori matsumoto ym405nm
0
310
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
710
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
180
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
870
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.1k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
580

Other Decks in Technology

See All in Technology
Eight Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
6.2k
Oracle Cloud Infrastructure:2025年12月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
270
モノタロウ x クリエーションラインで実現する チームトポロジーにおける プラットフォームチーム・ ストリームアラインドチームの 効果的なコラボレーション
Avatar for Creationline creationline
0
770
プロンプトエンジニアリングを超えて:自由と統制のあいだでつくる Platform × Context Engineering
Avatar for yuriemori yuriemori
0
410
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
330
コミュニティが持つ「学びと成長の場」としての作用 / RSGT2026
Avatar for ama-ch ama_ch
0
230
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
12k
【Agentforce Hackathon Tokyo 2025 発表資料】みらいシフト:あなた働き方を、みらいへシフト。
Avatar for Akira Kuratani kuratani
0
110
わが10年の叡智をぶつけたカオスなクラウドインフラが、なくなるということ。
Avatar for Hisashi SOGA sogaoh
PRO
1
500
投資戦略を量産せよ 2 - マケデコセミナー(2025/12/26)
Avatar for tomo gamella
1
640
複雑さを受け入れるか、拒むか? - 事業成長とともに育ったモノリスを前に私が考えたこと #RSGT2026
Avatar for bayashi murabayashi
1
1.8k

Featured

See All Featured
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
12
1.4k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
270
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
120
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
6.8k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
46
Navigating Team Friction
Avatar for Lara Hogan lara
191
16k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
54
49k
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
0
2.3k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
0
200
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.7k

Transcript

  1. HackL33t Fighters Ⅱ For WordPress ym405nm

  2. ⾃⼰紹介 1 松本 悦宜(まつもと よしのり) Capy株式会社 脆弱性情報分析、サービス開発など 共著 WordPressプロフェッショナル養成読本 インターネット⽩書2015

    講演発表など WordCamp Kansai 2015, 2016 Black hat 2016 Arsenal, OWASP AppSec APAC https://corp.capy.me/ FIDO認定取得済み

  3. WordPressセキュリティ WordPressはPHP製のオープンソースのCMS(Contents Management System) 世界シェアトップ セキュリティ事例 • ログイン画⾯への攻撃 推測されやすいパスワードなどにより不正ログイン •

    WordPress本体への攻撃 ⾃動アップデートを無効にしている環境のみ発⽣する • テーマ/プラグインなどのサードパーティー製品への攻撃 WordPressが管理されていないサイトで発⽣する 2 ήʔϜܗࣜͰ8PSE1SFTTηΩϡϦςΟΛମݧ

  4. 本⽇の演習 20XX年、WordPress界への道。 その⾔葉が意味す るものはハックリートファイトでの勝者を指す。 最強のWordPressを⽬指すため、世界中で真剣勝負 が繰り広げられている。 世界中のWordPressを倒し、WordPress界最強は 誰になるのか。 果て無き戦いの⽕ぶたは今、切って落とされた︕ 3

  5. 本⽇の演習 • 今から4つの WordPress 環境をお渡しします。こ のWordPressを「倒す」ことで合⾔葉(フラグ) をゲットします。 4

  6. 演習環境 5 Round 1 Round 2 ・ ・ ・ ・

    ・ ・ Kali Linux Kali Linux ・ ・ ・ それぞれ 5環境 ・ ・ ・ Github HTTP Clone SSH スコア サーバ HTTPS みなさま

  7. ログイン⼿順(サーバ) 6 会場のみ

  8. ログイン⼿順(スコア) 7 アカウント登録 (初回) ※パスワードリマインダ機能はありませんのでご注意ください

  9. 回答⼿順 8     

  10. まずやること • スコアサーバにアクセスしてアカウントを作成す る • GUIからの環境 • CUIからの環境(Kaliへアクセスし、curlコマンド 等で1問⽬のサイトにアクセスできるかどうか確 認)

    • WPSCAN(Kaliにインストール&アップデート済 み)などを使⽤してやってみる 9

  11. 注意事項 本演習で使⽤した技術等を、他⼈の環境で使⽤する と法律違反として処罰の対象となる可能性がありま す。 同様に攻撃情報などをインターネットに公開すると 法律に触れる可能性があります。 本演習は法令遵守を誓います。 本件の配慮のため、サイトへの「攻撃」に関しては Kali Linux経由を使⽤するようにしてください。

    10 (Kali Linux からはインターネットに出られないような設定になっています)

  12. その他 • 演習の都合上アンチウィルス製品が誤検知する可 能性がありますのでご了承ください • それぞれ他の⽅と相談するのは問題ないですが、 スコアサーバのログインやフラグの⼊⼒は個⼈ご とに⾏ってください • 随時SNS投稿は可能ですが...

    • 以下のことは禁⽌します • WordPress訪問者に対する攻撃 • 他⼈への攻撃 • スコアサーバへの攻撃、不正⾏為 11

  13. その他 さっきできたばかりのお⼿製環境ですので、不具合 等ありますがご了承いただきたいと思います。 コピペが必要なものや、当⽇アナウンスするものは こちらに記載していきます。 12

  14. (HINT) WPSCANの使い⽅ とりあえずスキャン $ wpscan –-url (path) ユーザ名の推測 $ wpscan

    --url http://(PATH_TO_WORDPRESS) --enumerate u パスワードリストからのスキャン $ wpscan --url http://(PATH_TO_WORDPRESS) -P password_list.txt -U (user) ※ 今回は便宜上wpscan3.6系を使⽤ WPSCanによるWordPressの脆弱性スキャン https://www.slideshare.net/owaspnagoya/wpscanwordpress 13

  15. HackL33t Fighters Ⅱ For WordPress 解説編 ym405nm

  16. 解き⽅例 15 # 解き⽅ 1 パスワードが脆弱 WPSCANなどでユーザ名推測→配布されたパスワードリストでス キャン パスワードがわかるのでログインしてフラグを確認 2

    WordPress REST API の脆弱性をつく 参考 https://www.jpcert.or.jp/at/2017/at170006.html 3 プラグインのアップロードが認証なしで可能 バックドアなどをアップロードしフラグを取得 4 ここまで来た君なら⼤丈夫!あとは気合いで乗り切ろう!

  17. その他 今回の環境ソースコード https://github.com/ym405nm/hackl33t_fighters 16