新年あけましておめでとうございます。本年も引き続き自分でも勉強しながらハッキングに関する様々な勉強して、アプトプットできればと思います。
無料WIFIが利用できる場所にいて、あなたは無料WIFIを信頼しますか?アクセスポイントがマクドナルドやスターバックスなどのSSDIをブロードキャストしている場合、実際にその会社か誰かが不正なアクセスポイントを設定してトラフィックを傍受していると信じますか?無料WIFIと表示されているものには細心の注意を払う必要があります。どうしても接続したい場合はVPNで繋げたほうがよいです。VPNアプリとしてProtonVPNというものがあります。 KaliLINUXがハッキングを始めるにはよいOSです。コマンドプロンプトはすべてのハッカーの始まり。ハッキングを学ぶにはYoube動画をみて学ぶことも可能です。
下記のサイトでペイロードの報奨金を得られます。
https://shop.hak5.org/
バグを探すコツ
・http履歴を検査する
→burp内で行うことができます。基本的にはhttp履歴を調べて数値的なエンドポイントを探します。時々、URL内のより高度な数値のようなIDOR※1を取得できます。通常は1234などの類似IDを探すだけです。次はURLの標準パラメータを超えたテストです。HTTPリクエストの本文などにIDORが見つかることがありました。BurpSuiteの履歴を調べるときに、単にURLバーですがHTTPリクエストには多くの隠されたデータが含まれています。
※1・・・オブジェクト(Object「主体」)とサブジェクト(Subject「⾏為」)の整合性がとれていないWebアプリケーションロジックで起こる問題
BURPSUITEを下記のURLよりダウンロードします。
https://portswigger.net/burp/communitydownload
“burpsuite_community_windows-x64_v2023_11_1_3.exe”を開いてインストールする。
「NEXT」を選択
「NEXT」を選択
「NEXT」を選択
「Finish」を選択
「Proxy」→「Intercept is off」をクリックしてオンにする
「Openbrowser」をクリック
システムにIDORがある場合には昇格や個人を特定できる情報漏洩など影響をさらに拡大しようとします。※IDORとはアプリケーションのセキュリティ上の脆弱性の一つ。アプリケーションにはどこかに別のアプリケーションがあるでしょう。開発者は同じアプリケーションを構築しているため、同じ傾向がある可能性があります。これが最後のポイントでアプリケーション内のパターンを探します。
天気予報のサイトでは特定の場所の天気がどのようになるかを確認でき、それがそのチームのIDに関連付けられ、紫色で表示されます。そこを強調表示すると基本的には単なる数値IDであり、BurpSUITE内で数回変更します。右側にあるように経度、緯度、基本的にチームの所在地に関する情報が含めれているため、大量の住所がありました。
BURPSUITEで通信をインターセプトして数値を変更して送信するとデータを書き換えることが可能です。
下記のサイトは自動化プラットフォームであり、大規模な脆弱性スキャンで多くのことをできます。
https://trickest.com/
Windowsのクリップボード履歴を使用して、5秒でクリップボードの内容が取得され、それがDiscordウェブフックに送信され、データが入力されます。コピーしたものはすべてそこに保存されるため、パスワードマネージャーからのパスワード、電子メール、基本的にクリップボードにコピーしたものすべてが含まれます。Rubber Duckyを接続するとFLIPPERZEROがDropBOXかDiscordのようなものでホストされているpowerSHELLファイルをダウンロードするというものです。実行するとpowerSHELLファイルが削除されます。
まとめ
BURPSUITEについて色んなサイトをインターセプトして試してみました。途中でログイン情報も見えるのですが自分で見ているPCが基準となります。そのため、どうやって使うのかは微妙ですがサイトの脆弱性調査には使えそうですね。またUSBメモリの危険性もUSB Rubber Duckyを見ているとわかりますね。