この記事を読むと何がわかるか
virtualboxを使用したpentestの環境構築法
easybuggyをdeployする方法
動機
最近俄にセキュリティに対する興味が湧いてきた.特に,Webアプリの脆弱性云々を悪用するタイプの話がとても好き.実際のやられWebアプリに対していろいろやってみることにした.
やられWebアプリ
いろいろ試すためにあえて脆弱性を作ってあるWebアプリはやられWebアプリとか呼ばれてて,MetasploitableとかbWAPPとかがあるようだ.
脆弱性を試すだけでなく,脆弱性を起こすようなコードも読んで理解したいとなると,そのアプリの言語も読めないといけない.僕はWebアプリフレームワークはdjangoとRoRしか触ったことがないので,djangoで作られたeasybuggy djangoを使うことにした.
easybuggy
easybuggy(@tamura__246さんら作)自体はjavaでかかれてて,いくつかの言語のクローンがある.詳しい説明はgithubにまとめてくれている.
作った環境
virtualboxを使い仮想PCを2台作成した.やられPCはubuntu16.04,やるPCはkaliを使った.それぞれの仮想PCのネットワークを同じNATネットワークに所属されると相互に通信できるようになる.
手順
①それぞれVirtualBoxに仮想PCを構築する.
②設定をクリックし,ネットワークタブからNATネットワークを選ぶ.
もし,割り当てるNATネットワークの名前が選べないときは,VirtualBoxの環境設定からNATネットワークを作成する.
easybuggyをdeploy
この記事を読むのがはやい.
(詳細は需要があれば)
うまく行ったか確認
ubuntuのIPアドレスをifconfigで確認する.
kaliから確認したIPにブラウザでアクセスする.
うまくいった!!
まとめ
「他のサーバーで立ってるWebアプリに対していろいろする」という模擬環境ができた.次回からはいろいろなツールを使って脆弱性をつついて遊ぶ.