今更ですが当時参加したことを思い出しながら投稿します
ペネトレーションテストから見えた「内部Webアプリケーションに潜むリスク」
GMOサイバーセキュリティ byイエラエの安⾥眞夢(@greenapple_w)さんによる、内部ペネトレーションテスト(内部PT)で実際に見えたWebアプリケーションの脆弱性とその影響についての講演内容を、テックブログ向けにまとめました。
🔍 内部PTで見えてきた「悪用できるWeb脆弱性」とは?
ペンテストのゴールを達成するために“使える”Web脆弱性にはいくつかのタイプがあります。
✅ 悪用しやすい脆弱性(内部PT向き)
- 認証機能やアクセス制御の不備
- ディレクトリトラバーサル / LFI / RFI
- OSコマンドインジェクション
- XXE など
→ 挙動や構成からある程度“見えてくる”タイプで、ブラックボックス状態でも推測・悪用が可能。
⚠️ 悪用しにくい脆弱性(Red Team系以外ではあまり使わない)
- XSS
- CSRF
- オープンリダイレクト
- セッション固定攻撃
→ ユーザの操作を必要とするため、内部PTでは出番が少ない。
🔧 慎重を要する脆弱性
- SQLインジェクション
- Insecure Deserialization
→ 影響が大きく、アプリケーション理解や十分な検証が必要。
🧪 実例①:Tomcatの設定ミスから管理DBに到達
シナリオ概要
- 対象範囲:社内NW上の業務Webアプリケーション
- 発見:URLのルートパスからTomcatデフォルト画面を発見
-
悪用:デフォルトの認証情報でTomcat Managerにログイン成功
→ Cookieセッションを奪い、管理者としてシステムにアクセス可能に
結果
- 任意ユーザのセッションを奪取し、管理DBへのアクセスに成功
🧪 実例②:認証の不備 × AD管理の緩さで重要ファイル奪取
シナリオ概要
- AD認証のある社内WebアプリをBurpで観察
- SIDを書き換えた2段目リクエストを送ると、管理者相当のCookieが降ってきた
結果
- ファイルサーバ上の全ファイル閲覧権限を獲得
- 管理者アカウントの平文パスワードを取得
🧪 実例③:ディレクトリトラバーサル+SMBリレーでドメイン管理者に
シナリオ概要
- Web製品の管理UIから、パスの書き換えで任意ディレクトリをDL(ディレクトリトラバーサル)
- SMB経由で
\\DC.local\C$\Users\Administrator\Desktop\などへアクセス成功 - SMB署名が無効なサーバを特定 → SMBリレー攻撃が可能に
結果
- Responderを用いてNTLMv2ハッシュを取得
- ハッシュクラックに成功 → ドメイン管理者のパスワードを奪取!
※この脆弱性は調整を経てCVE-2023-49108として公開済。
🧩 まとめ:WebアプリとAD運用の「組み合わせ」が危ない
以下のような条件が重なると、予想外の権限奪取が可能になります。
- 脆弱なWebアプリ(アクセス制御・入力検証の不備)
- 運用上の認証設計ミス(ADとの連携、デフォルトパスワード)
- SMB署名の無効化など、構成上の盲点
小さなほころびが、最終的にドメイン管理者の奪取につながることもある。
💬 最後に
ペネトレーションテストは単に脆弱性を見つける作業ではなく、 システム間のつながり・運用のクセ・現場の“想定外” を突くプロセスでもあります。
内部アプリのセキュリティを見直す際は、 「このアプリ単体ではなく、ADやファイルサーバとどうつながっているか?」 に目を向けてみるといいかもしれません。