2021年末、log4jの脆弱性が公表され、いろいろ調べているうちに、TryHackMeというサイトに出会った。
このサイトでは、実際にサイト運営側で用意したやられサイトを用いて、脆弱性の概要から実際のハッキングまで学ぶことができる
https://tryhackme.com/room/solar
こういうのはまさに仮想化の恩恵である。
サイト上でボタンをクリックするだけで、制限時間付きのやられサイトが立ち上げってきて、有料会員であれば自環境からVPN接続してアタックすることができるし、運営側で用意してくれる仮想環境を使ってアタックすることもできる。
ちなみにこのようなペネトレーショントレーニングのサービスプロバイダは日本には存在しないが、海外にはいくつか存在しているらしい。
その一つが、今回自分が契約した、TryHackMe。
もう一つがHack The Box。
Hack The Boxは期限がない、もしくはすごく長いCTFみたいな感じ。上級者向けで、NTTセキュリティでも採用されている模様。
TryHackMeはチュートリアル付きで、初級・中級者向けと言われている。
課金は月額10USDか、年間契約で7.5USD/月(確か)があり、いきなり年間契約はちょっと怖いので、月額で課金してみることにした。
課金すると自環境からVPN接続できるようになるため、手元のkali linuxから接続できるようにVPN接続のメモを残しておく。
まず、OpenVPNの構成ファイルをダウンロードするページに移動します。
緑色の「Download My Configuration File」をクリック
<自分のユーザー名>.ovpnという接続設定のファイルがダウンロードできるので、接続するLinux環境にダウンロードします。
その後、Linux環境にてOpenVPNのインストールを行い、VPN接続を行います。
# OpenVPNをインストール(入ってないとき)
sudo apt install openvpn
# 接続用のファイル置き場をつくる
mkdir tryhackme
# ダウンロードしてきたovpnファイルを移動させる
mv ~/Downloads/<username>.ovpn tryhackme/
# OpenVPNコマンド実行して接続
sudo openvpn tryhackme/<username>.ovpn <username>のところは自分のユーザ名に読み替えてください。
Initialization Sequence Completedで終わったら完了。
時々失敗することもあるので、うまくいかなかったらctrl+cを押して中断して最後のコマンドを打ち直すとよいです。
ブラウザに戻り、Connectedにチェックが入ってIPアドレスがなんかしら表示されることを確認します。
