ethical hacker育成!評価用脆弱サーバー構築

脆弱サーバー構築セキュリティ
Gerd AltmannによるPixabayからの画像

※この記事にはプロモーションが含まれています。

セキュリティの現場でも、経験は大きな財産です。エクスプロイトの練習するためには、脆弱性を有する環境が必要となります。今回は、脆弱性をもつサーバーをHyper-V上に構築する手順を紹介します。

スポンサーリンク
スポンサーリンク

イメージのダウンロードする

脆弱なサーバーを2種類用意します。どちらのサーバーも仮想マシンイメージをダウンロードして、起動させるだけなので準備は非常に簡単です。

  • Metasploitable2
    metasploitable-linux-2.0.0.zip
    一般的な脆弱性をセットアップした、Ubuntu仮想マシンです。一般的なサービス攻撃の練習用に用います。
  • OWASPBWA (OWASP Broken Web Apps)
    OWASP_Broken_Web_Apps_VM_1.2.zip
    Webアプリケーションをターゲットとした、脆弱なWebアプリが仮想マシン内に詰め込まれています。

イメージをコンバートする

入手したイメージはVMDK(VMWare用)形式のため、Hyper-V用のVHDX形式に変換します。以前はMicrosoft Virtual Machine Converter(MVMC)というツールが配布されていた様ですが、現在は配布停止(Microsoft Virtual Machine Converter (MVMC) is being retired)されています。

なので、今回はVirtual Box同梱のVBoxManager.exeの力を借りて、VMDK→VHDXを実現します。

VMDKをVHD形式に変換する

まず、VMDK形式をVHD形式に変換します。変換するのは、Virtual Boxに同梱されているVBoxManagerというツールです。コマンドプロンプトから以下のコマンドで、Metasploitable2のイメージを変換します。

> VBoxManage.exe clonehd Metasploitable.vmdk Metasploitable.vhd --format vhd

0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
Clone medium created in format 'vhd'. UUID: fd2d4fdc-d485-456c-bd59-acc7f781fc20

これで、VHD形式のファイルが作成されます。

OWASPBWAの方も、同じように変換します。

> VBoxManage.exe clonehd "OWASP Broken Web Apps-cl1.vmdk" OWASP_Broken_Web_Apps.vhd --format vhd

0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
Clone medium created in format 'vhd'. UUID: 375db93b-9b11-45c7-b016-ff20ab666e25

VHDをVHDX形式に変換する

VHD形式をVHDX形式に変換するには、Hyper-Vの”ディスクの編集”機能で行います。

Hyper-Vのコンソールから、[ディスクの編集]をクリックし、[変換]から[VHDX],[容量可変]を選択します。

これで、VHDX形式のファイルを入手することができます。

サーバー起動

仮想マシン作成

Hyper-Vで新規仮想マシンを選択します。主な設定事項は下記です。

  • 世代の指定は、第一世代を選択
  • ネットワーク構成は、インターネットに直接接続しないスイッチを選択
  • ハードディスクは、既存のハードディスクを使用するで、変換したVHDXファイルを選択

上記は、Metasploitabl2・OWASPBWAとも共通です。

起動

それでは、サーバーを起動してみましょう。初回は少し時間がかかります。

サーバーログインの認証情報は、下記のとおりです。

  • Metasploitable2
    msfadmin / msfadmin
  • OWASPBWA
    root / owaspbwa

まとめ

ペネトレーションテストなどのスキル向上には、練習が不可欠です。自前の環境を用いて、どんどん練習しましょう。その際、脆弱サーバーをセキュアなネットワークに配置することと、ターゲットを間違えないことには注意してください。

以上、評価用脆弱サーバーをHyper-Vに構築する手順の紹介でした。

コメント