🐡

TryHackMeでHackerになった話

Riya Amemiya

2024/02/19に公開

はじめに

TryHackMeでHackerになった話

フロントエンドエンジニアがセキュリティもできるようになりたいと思い、TryHackMeを始めてHackerランクになったのでやったことを残しておきます
(セキュリティエンジニア見習いぐらいにはなれたはず)

TryHackMeのランクは以下の通り

0x1
0x2
0x3
0x4
0x5
0x6
0x7
0x8[Hacker]← 今ここ
0x9[Omni]
0xA[Wizard]
0xB[Master]
0xC[Guru]
0xD[God]

https://tryhackme.com/p/riyaamemiya

そもそもTryHackMeって何？

ネット上のテスト環境でハッキングのシナリオを元に実践的なサイバーセキュリティのトレーニングができるサイトです

やった学習問題

Introduction to Cyber Security

名前の通りサイバーセキュリティとは何かを学べる
キャリアパスとか攻撃の手法、防御方法など

Pre Security

サイバーセキュリティを始めるための前提条件となる知識を学べる
ネットワークとは何か、Linuxの基礎、Windowsの基礎など

Linux PrivEsc

LinuxでSudo、SUID、Cron jobなどの脆弱性をついてrootに権限昇格する様々な方法を実際に手を動かして学べる

https://tryhackme.com/room/linuxprivesc

便利なサイトとかツール

CrackStation

ハッシュを入力すると元の値教えてくれる

https://crackstation.net/

hashcat

CrackStationで解けなかったハッシュを解くために使う
Wikiにハッシュの種類と例が載ってるのでそれを参考にする

Kali Linux

セキュリティ特化のLinuxでセキュリティ系ツールが最初からインストールされている
私はParallelsを使ってMacでKali Linuxを使っている

CyberChef

暗号化、復号、ハッシュ化、エンコード、デコードなどほとんどのことをできる神サイト

https://gchq.github.io/CyberChef

GTFOBins

ローカルのセキュリティ制限を突破したい時に使えるコードが載ってる
CTFで不正アクセス後に権限昇格するためにいっぱいお世話になる

https://gtfobins.github.io/

面白かったやつ

Crack the hash

ルールは簡単でHashの元の値が分かればクリアです
Kali Linuxの rockyou.txt で解けます

https://tryhackme.com/room/crackthehash

Level 2が結構難しくて、Johnのルールを書いたり、シナリオに合わせた rockyou.txt 以外のWordlistを用意しないといけなくてかなり頭を使った(リアル7時間ぐらいかかった)
今のPCはMD5なら1.2億行のワードリストでも30秒程度で演算してしまうので、MD5が推奨されてない理由を実感できた。

RootMe

名前の通りで不正アクセスからのroot権限昇格を目指すCTF
設問が多くて権限昇格までの手順をわかりやすく学べた

https://tryhackme.com/room/rrootme

Cyborg

これも権限昇格系
RootMeが解ければこれも簡単に解ける

https://tryhackme.com/room/cyborgt8

Mr Robot CTF

名前の通りCTF形式で対象のサイトに攻撃してフラグを手に入れればクリア
自分をロボットだと思い込んで…これ以上はネタバレになっちゃうので書かない

https://tryhackme.com/room/mrrobot

Wonderland

これはネタ系で結構頭を捻らないと答えがわからない
(ひらめき力を試されるのである意味では実践むきかもしれない)
ここは全てが逆の不思議な国…

https://tryhackme.com/room/wonderland

Looking Glass

紹介した中だと個人的最高難易度
ssh接続してマシンに侵入してから権限昇格してフラグをゲットしてクリアのよくあるCTFだと思いきや、そもそもssh接続するまでにかなり時間かかったし、接続後もパスワード取得にめちゃめちゃ時間かかった…
その後も結構めんどくさい手順を踏んでrootへ権限昇格

https://tryhackme.com/room/lookingglass

まとめ

以上TryHackMeでHackerになった話でした。
昔興味があったセキュリティ分野にまたハマり始めて、Hackerを目標にTryHackMeを始めて無事称号獲得できました。
フロントエンドとセキュリティの二刀流でキャリア形成もありだなと思いながら、ここで学んだ知識を正しく利用しつつ、最高ランクのGodを目指していきます💪

GitHubで編集を提案

GMOメディアテックブログPublication

GMOインターネットグループの一員であるGMOメディアは、BtoC向けの様々なインターネットサービスを提供し続けています。サービスをより良くしてユーザーに良い体験を提供すべく一緒に働くメンバーを募集しています。GitHub Copilot for Business や ChatGPT PlusなどAIサービス積極導入！

TryHackMeでHackerになった話

はじめに

TryHackMeでHackerになった話

そもそもTryHackMeって何？

やった学習問題

Introduction to Cyber Security

Pre Security

Linux PrivEsc

おすすめの本

ホワイトハッカー入門

ハッカーの技術書

マスタリングTCP/IP 情報セキュリティ編

体系的に学ぶ安全なWebアプリケーションの作り方

ハッキング・ラボのつくりかた

便利なサイトとかツール

CrackStation

hashcat

Kali Linux

CyberChef

GTFOBins

面白かったやつ

Crack the hash

RootMe

Cyborg

Mr Robot CTF

Wonderland

Looking Glass

まとめ

Discussion

はじめに

TryHackMeでHackerになった話

そもそもTryHackMeって何？

やった学習問題

Introduction to Cyber Security

Pre Security

Linux PrivEsc

おすすめの本

ホワイトハッカー入門

ハッカーの技術書

マスタリングTCP/IP 情報セキュリティ編

体系的に学ぶ 安全なWebアプリケーションの作り方

ハッキング・ラボのつくりかた

便利なサイトとかツール

CrackStation

hashcat

Kali Linux

CyberChef

GTFOBins

面白かったやつ

Crack the hash

RootMe

Cyborg

Mr Robot CTF

Wonderland

Looking Glass

まとめ

Discussion

体系的に学ぶ安全なWebアプリケーションの作り方