お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

CNET Japan ブログ

「ブラッディ・マンデイ」を考察する(最終回)

2009/01/23 00:14
  • このエントリーをはてなブックマークに追加

プロフィール

石森 大貴

Webサービスやインフラ、セキュリティに触れながら気になる情報をお届けします。 ※旧「元現役高校生サーバー管理者の考察日誌」を改め、「isidaiの考察日誌」にしました。
ブログ管理

最近のエントリー

  ブラッディ・マンデイに関する記事を書くのもおそらく最後になります。更新が遅くなり申し訳ありませんでした。最早旬の時期も過ぎ去り…(笑) 僕とABEL副代表のlizanはセンター試験が終わりました。最近はある二コ動の歌い手さんとSkypeでお話ししたり,色々な機会に恵まれています。多分来月も東京でフラフラしてます(笑)さすがにCNETの記事には軽い事を書けませんので…日常はブログのほうで更新しています。 

宝石箱のタイマー

 宝石箱のタイマーをひとまず止めるため,THIRD-iの人がWindowsのコマンドプロンプトからnetコマンドで端末にアクセスしています。このときのnetコマンド(net view \\clock-2など)は特に意味を成していません。

 藤丸が何故かTHIRD-iの端末にアクセスして,藤丸環境をロードさせコマンドを実行しています。

 

Binding.. Waiting.. Connection recievied from ('10.1.1.130', 1090)

 などが表示され「fw.disable_link」でおそらくファイアウォールを解除している様子が見えます。結局netstatコマンドで通信しているアドレスやプロトコルなどを調べましたが,何もヒットしませんでした。

 

ファルコンvsブルーバード?

おそらくブラッディ・マンデイの中で最大の量を誇る最終話での(クラックの)攻撃シーン。

 

 画面では見えていないのですが,藤丸側のウィンドウで

> s=Scanner('ter0')

Using interface ter0 using 10.0.0.33/255.255.255.0

> s.scan_arp()

Scanning local network...

 そこでローカルネットワーク内に2つのホスト(10.0.0.33と10.0.0.133)を見つけます。

> s.scan('10.0.0.133')

 でポートスキャンを開始します。空いているのは23,21,111,990の4ポートですね。

 23番がtelnetのポートなので藤丸はそのまま10.0.0.133のtelnetに接続をします。

 10.0.0.133が中央サーバーなんですね^^

 最初のログイン試行では切断されていますが,次の

telnet -l -froot 10.0.0.133

 で接続出来ています。

 これは 「#telnet -l "-froot" ログイン先」でパスワード無しでrootにログイン出来るという最凶のtelnet脆弱性です^^;;;

 rootで入れたものの,rootパスワードが分からなくても入れたので,逆にrootパスワードを調べようとします。

grep root /etc/shadowでshadow化されたrootのパスワード情報を読みます。

 別なターミナルウィンドウで

echo root:wpVZg5qYEF.f2 >p

john p

 としています。pというファイルにrootのshadowパスワードを書き出し,johnでハッシュ解析をしています。

uuencode ... <Code/remrecon | nc-l -p 3333

 uuencodeはバイナリをテキストにエンコードするためのツールでncはNetCatの略でリッスンモード・クライアントモードでデータのやり取りをする事が出来ます。

chmod +x ...

./... 10.0.0.33:5555

 などがあるので

 「...」はファイルの名前です。

 何のツールかいまいち掴めません^^;;;

 途中に見える「auto_hack('192.168.48.6')」でpayloadを送信しているのも見えます。脆弱性の攻撃ですね。

 

 FALCONが宝石箱のありかを見つけたら,その結果を横取りしようとしているブルーバードのはずなのですが,何故か「ファルコン撃ち落としてやる」などと邪魔しています(笑)

 結局ブルーバードの行為はファルコンの邪魔です…汗 何が目的なのでしょうか。

 

 途中ブルーバード側の画面が見えますが,/etc/passwdのファイルをcatで表示させただけなのと「ps auxfww」というコマンドでエラーになってる画面,また

 ps -a -o pid,fname で ファルコンが実行している「...」をkill 6262で終了させ,自分がtelnetで入ろうとしている様子が窺えます。

 なぜせっかくFALCONが迅速にやってる仕事をkillする必要があるのか謎です。

 

 そのころファルコン側は

s.insert_tcp(open('/dev/urandom'),"host 10.0.0.6...(以降見えず)

 を実行して消えます。

 ブルーバード側は ping 10.0.0.133とping 10.0.0.33をしています。

 

 コマンドと鳥の喧嘩CGが明らか噛み合っていません。

 

 ファルコンはおそらくサーバーの設定かスイッチの設定を変更しています。

conf t や int などが見えます。

 多分,ブルーバードが接続出来ないようにしたのだと思いますが,今回のシーンはコマンドの表示より鳥が飛んでいる時間が長く,正確に何をしているのか掴めません。

 

 最後にブルーバードはpingの結果をみて叫んでいます(笑)

(一応pingの応答は返ってきてる)

 いまいち意味の分からないラスト。 

 今回の注目点はtelnetの脆弱性がテレビで流れてるという事でしょうか^^;;;

 

見え隠れする大人の事情

 ブラッディ・マンデイの中には多くのOSが登場しますが,中にはWindowsVistaが目立ちます。そして様々なサイトで「Vistaでクラックとかオカシイ」という内容の発言を目にする事がありました。あくまでブラッディ・マンデイはTBSが制作した「番組」ですから,スポンサーの関係もあり,大人の事情で使わなければならない製品が沢山あるはずです。

 実際の現場でもVistaでペネトレーションテストすることもあると思います。

 逆に専らLinux環境でテストする人も居ます。 

まとめ

   すごくこの記事を書くのが遅くなってしまいました。コメントの返信もできてなかったですし。汗

 全体を通して,すごく面白かったです。この記事を書き始めてから色々な人とお話する機会をもらい,サイバーディフェンス研究所に行ったりセキュアスカイテクノロジーに行ったり…。

 ブラッディ・マンデイで飛んできた読者の皆さん…これからもブラッディ・マンデイ以外にも色々な記事を書いていきたいと思いますので是非是非よろしくお願いします^^ 

  では!

 

※このエントリは CNET Japan ブロガーにより投稿されたものです。朝日インタラクティブ および CNET Japan 編集部の見解・意向を示すものではありません。
運営事務局に問題を報告

最新ブログエントリー