All Posts

A thumbnail image

ペネトレ検証-権限昇格とWildcard Injectionの原理

しゅーとです。 引き続きペネトレーションテストの検証をしていきます。 前回の記事はこちら。 ペネトレ検証-ECサイトに侵入 前回はECShopの脆弱性を用いてRCE、そしてwww-data権限でのバックドア作成に成功しました。 今回はLinuxでの権限昇格です。 権限昇格したい! 現状コントロールできているのはwww-dataユーザの権限であり、rootではありません。 ここから横展開するにあたり、root権限は

May 13, 2019 - 17 min read
A thumbnail image

ペネトレ検証-ECサイトに侵入

しゅーとです。 家にADの検証環境を立てたので、一連のペネトレーションテストの練習をします。 また、攻撃後にブルーチーム目線で攻撃の痕跡がどう残っているかも確認します。 今回は初期侵入フェーズとしてECサイトへの侵入です。 エクスプロイトとバックドアの作成をやっていきます。 なお今回はIDSとして申し訳程度にSuricataを立てていますが、デフォルトのポリシーだし正直検知できるとは思っていません。 自作自演

May 11, 2019 - 8 min read