🐡

TryHackMeでHackerになった話

2024/02/19に公開

はじめに

TryHackMeでHackerになった話

フロントエンドエンジニアがセキュリティもできるようになりたいと思い、TryHackMeを始めてHackerランクになったのでやったことを残しておきます
(セキュリティエンジニア見習いぐらいにはなれたはず)

TryHackMeのランクは以下の通り

  • 0x1

  • 0x2

  • 0x3

  • 0x4

  • 0x5

  • 0x6

  • 0x7

  • 0x8[Hacker]← 今ここ

  • 0x9[Omni]

  • 0xA[Wizard]

  • 0xB[Master]

  • 0xC[Guru]

  • 0xD[God]

https://tryhackme.com/p/riyaamemiya

そもそもTryHackMeって何?

ネット上のテスト環境でハッキングのシナリオを元に実践的なサイバーセキュリティのトレーニングができるサイトです

https://tryhackme.com/signup?referrer=65be389227477dbc13789c73

やった学習問題

Introduction to Cyber Security

名前の通りサイバーセキュリティとは何かを学べる
キャリアパスとか攻撃の手法、防御方法など

https://tryhackme.com/path/outline/introtocyber

Pre Security

サイバーセキュリティを始めるための前提条件となる知識を学べる
ネットワークとは何か、Linuxの基礎、Windowsの基礎など

https://tryhackme.com/path/outline/presecurity

Linux PrivEsc

LinuxでSudo、SUID、Cron jobなどの脆弱性をついてrootに権限昇格する様々な方法を実際に手を動かして学べる

https://tryhackme.com/room/linuxprivesc

おすすめの本

ホワイトハッカー入門

初心者向けにセキュリティ全般がよくまとめられている本

https://amzn.asia/d/7Uz76Bt

ハッカーの技術書

具体的な攻撃手法が網羅的に書かれた本
CTFをやる前に一読するのがおすすめ

https://amzn.asia/d/0Xxhtjy

マスタリングTCP/IP 情報セキュリティ編

セキュリティの定番本
情報セキュリティに関する幅広い知識を網羅した書籍で、図も豊富で初心者でも理解しやすくなってる

https://amzn.asia/d/2NW4iA8

体系的に学ぶ 安全なWebアプリケーションの作り方

通称徳丸本(著者が徳丸さん)
Webセキュリティと言えばこの本レベルの定番
Webアプリに潜む脆弱性とその対策や対策しないとどんな問題が起きるかなどわかりやすくまとめらている

https://amzn.asia/d/ic1kbG0

ハッキング・ラボのつくりかた

攻撃し放題の環境を作って実際に手を動かしながら学習できる本
やっぱり実戦の方が理解が深まる

https://amzn.asia/d/cABVhIs

便利なサイトとかツール

CrackStation

ハッシュを入力すると元の値教えてくれる

https://crackstation.net/

hashcat

CrackStationで解けなかったハッシュを解くために使う
Wikiにハッシュの種類と例が載ってるのでそれを参考にする

https://hashcat.net/wiki/doku.php?id=example_hashes

Kali Linux

セキュリティ特化のLinuxでセキュリティ系ツールが最初からインストールされている
私はParallelsを使ってMacでKali Linuxを使っている

https://www.kali.org/get-kali/#kali-platforms

CyberChef

暗号化、復号、ハッシュ化、エンコード、デコードなどほとんどのことをできる神サイト

https://gchq.github.io/CyberChef

GTFOBins

ローカルのセキュリティ制限を突破したい時に使えるコードが載ってる
CTFで不正アクセス後に権限昇格するためにいっぱいお世話になる

https://gtfobins.github.io/

面白かったやつ

Crack the hash

ルールは簡単でHashの元の値が分かればクリアです
Kali Linuxの rockyou.txt で解けます

https://tryhackme.com/room/crackthehash

Level 2が結構難しくて、Johnのルールを書いたり、シナリオに合わせた rockyou.txt 以外のWordlistを用意しないといけなくてかなり頭を使った。(リアル7時間ぐらいかかった)
今のPCはMD5なら1.2億行のワードリストでも30秒程度で演算してしまうので、MD5が推奨されてない理由を実感できた。

https://tryhackme.com/room/crackthehashlevel2

RootMe

名前の通りで不正アクセスからのroot権限昇格を目指すCTF
設問が多くて権限昇格までの手順をわかりやすく学べた

https://tryhackme.com/room/rrootme

Cyborg

これも権限昇格系
RootMeが解ければこれも簡単に解ける

https://tryhackme.com/room/cyborgt8

Mr Robot CTF

名前の通りCTF形式で対象のサイトに攻撃してフラグを手に入れればクリア
自分をロボットだと思い込んで…これ以上はネタバレになっちゃうので書かない

https://tryhackme.com/room/mrrobot

Wonderland

これはネタ系で結構頭を捻らないと答えがわからない
(ひらめき力を試されるのである意味では実践むきかもしれない)
ここは全てが逆の不思議な国…

https://tryhackme.com/room/wonderland

Looking Glass

紹介した中だと個人的最高難易度
ssh接続してマシンに侵入してから権限昇格してフラグをゲットしてクリアのよくあるCTFだと思いきや、そもそもssh接続するまでにかなり時間かかったし、接続後もパスワード取得にめちゃめちゃ時間かかった…
その後も結構めんどくさい手順を踏んでrootへ権限昇格

https://tryhackme.com/room/lookingglass

まとめ

以上TryHackMeでHackerになった話でした。
昔興味があったセキュリティ分野にまたハマり始めて、Hackerを目標にTryHackMeを始めて無事称号獲得できました。
フロントエンドとセキュリティの二刀流でキャリア形成もありだなと思いながら、ここで学んだ知識を正しく利用しつつ、最高ランクのGodを目指していきます💪

GitHubで編集を提案
GMOメディアテックブログ

Discussion