先日赤羽の勉強会に参加して、Hack The Boxに登録していた人がいたので、その勉強会の時間を使ってみんなで解いていました。
実際にやってみると面白く、これは自分も登録しようと思ったので、登録しました。
登録時にも簡単な問題を解かなければいけないので、それを記事にします。
なお、具体的なやり方とかは明示できないので、予めご了承下さい。
Hack The Boxとは
実際のサイトに記載されている内容を引用しています。
実際に侵入テストを体感できるプラットフォームということです。
CTFとかをやっている人は得意なのではないでしょうか。
もちろん日ごろからペネトレーションテストをやっている人は業務に近い?かと思います。
Hack The Boxに登録
サイトにアクセスすると以下の画面が出てきます。
登録するために右上にある「Join Now」を選択すると以下の画面になります。
なんと招待コードをハッキングしろとの記載があります。
その招待コードがなければ登録することもできません・・・(そんなに難しいわけではないのでご安心を)
まずは定番ですが、この画面のソースを見てみましょう。
chromeのデベロッパーツールを使用すれば以下のように見えますので、おすすめです。
とりあえず、同じホスト上の気になるファイルにアクセスしてみましょう。
こんなのが表示されたりなかなか凝っています。
ここからは具体的な答えに近いので、濁しますが、とあるファイルにアクセスすると難読化されたスクリプトが記載されていますので、それを解読します。
難読化されたスクリプトなんて読めない(めんどい)という方もいるかと思います。
大丈夫です。私も同じなのでしたので、そういった場合はツールを頼ります。
幸いなことにgoogle検索で「JS 難読化 解除」とかで検索をかければ見つかるかと思います。(google検索大事!)
私はサイトでそのまま解析できるやつを使用しました。
解析するととあるURLにアクセスする形になるので、その通り実行します。
その際はcurlやプロキシツールからやるといいかと思います。(私はburpでやりました)
アクセスしていくと招待コードがレスポンスに返ってくるのでそれを入力します。
あとは通常の登録と同じですので、やってみてください。
無事登録が終わると、以下のように登録メールが送信されますので、記載のURLにアクセスして登録完了です!
これで登録は完了です!
やってみるとそこまで難しくはないので、興味がある方はチャレンジしてみてください。
最後に
Hack The Boxへの登録方法を記事にしました。
今後は暇な時間にちょこちょこと進めていこうかと思います。
実際にどうやったか等はブログに乗せることはできないので、事前の調査やどんなツールを使って攻略したかは載せたいなと考えています。(攻略できれば・・・)
個人的には仲の良いグループでワイワイしながらやるのが面白いと思っています。
是非皆さんも登録して実際の侵入を体験してみてはいかがでしょうか。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント