さんぽしのBLOG

さんぽしのBLOG

非理系の大学生が頑張りに頑張り抜いてエリートエンジニアになるシンデレラストーリー(予定)です。

どぶ素人がHack the BoxでHackerになるまでの道のり

こんばんは

さんぽしです。

1月頃から始めたHack the BoxでやっとこさHackerになりました。

記念なので、これまで何してきたかという競プロでいう「色変記事」的なのを雑に書こうかと思います。

Hack the Box気になってるけど何からやればいいかわからない🤔的な人の参考になればと思います!

www.hackthebox.eu

1月 - 3月

Hack the Boxとの出会い

Hack the Boxのことは初めは単なる常設CTFだと思っていて、なんとなく登録してみました。 この時点での僕の経験は「CTFのWeb問のすごい簡単なやつが解ける」程度でした。

登録してみるとHack the BoxがCTFとちょっとだけ違うことに気がつきます。(challengeはCTFっぽいけど)

今更ながらの紹介ですが、Hack the Boxはいわゆるペネトレーションテストが実践できるようなサービスです。CTFではPENTESTというジャンルでペネトレ問が出されることはありますが、そんなに頻繁ではないです。

Kaliなどの環境を構築する

ペネトレーションテストにはKali Linuxなるものを使うらしい…」ということを聞きつけたので「ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習」という本を借りてKaliの環境構築&さらっと流し読みで雰囲気を掴みました。

www.shoeisha.co.jp

Hack the Boxでいきなり課金

Hack the BoxにはVIP会員という制度があり、10ドル/monthでvipになれます。

vipになると

  • Retired Machineに挑戦できる
  • 空いてるMachineに挑戦できる

などなどの特典があり、最も大きいのは一つ目の「Retired Machineに挑戦できる」です。

そもそもMachineというのは攻略対象のマシンのことですが、ランクに関係するActive Machineとランクに関係しないRetired Machineの二種類が存在します。

Retired Machineというのはランクに関係しないため、公式が「Retired MachineならWriteup書いていいよ!」と言っていて、公式を含めかなり多くの人がWriteupを出しています。

僕的には、Hack the Boxを楽しみたいならVIPになるのがおすすめです

Retired MachineはこれまでのMachineが全て含まれている(多分)のでActive Machineよりも圧倒的に量があります。

また、多くの人がwriteupを出しているため、何からすればいいかわからない人もwriteupを見ながら手を動かして学習することができ、自力で解けたMachineも他の人の解法をみると別のルートを通っていたり、別のツールを使っていたりと多くの学びがあります。

ということで僕は初手でVIPに登録し、Retired Machineをやり続ける日々を送ります。

また、あとで復習しやすいように自分でもWriteupを書いていました。

qiita.com

多分この期間で14個のMachineを攻略しました。

4月- 5月

3月後半 - 4月前半はインターンに行っていたので全然何もしていませんでした。

4月の後半からTryHackMeというHack the Boxと似たようなペネトレを学べるサービスをやっていました。(これまたVIPで)

やってみて思いましたが、Hack the Boxより先にTryHackMe始めればよかったかもな〜とか感じました。

TryHackMeに関しては詳細は別の記事にまとめてあります。

sanposhiho.hatenablog.com

また、TryHackMeに関してもWriteupをQiitaに書いていました。

qiita.com

また、5月の真ん中辺りで「ハッキングという言葉に憧れるエンジニア達に贈る Hack the Box入門」という題でLTをした資料がちょっと話題になってよかったです

speakerdeck.com

5月 -

TryHackMeのVIPが終わってからHack the BoxのVIPに戻ってきた僕はこれまで通りRetired Machineを進めつつ、Active Machineの攻略も始めました。

また、自分なりにチートシートをまとめ始めました

github.com

また、今までは難易度easyのMachineしか解いていませんでしたが、難易度mediumのMachineでも簡単なものは解けることに気がつき、最終的に

  • Blunder - easy
  • ServMon - easy
  • Traceback - easy
  • Remote - easy
  • Magic - medium

を攻略し、Hackerに昇格しました。

f:id:sanpo_shiho:20200608123952p:plain

↑見ての通りUser Rated Difficultyで簡単なものから攻略していった感じです。

最終的にこの時点でActive, Retired合わせて26個のMachineを攻略していました。

終わりに

Hack the Box気になってる!みたいな人がどのように始めるかの参考になるといいなと思いこの記事を書いてみましたが、意外と内容薄っっぺらくなってしまった…

僕的にHack the Boxはどこから始めればいいかわからない(Kaliのセットアップも含む)という最初のハードルが一番大きいと思っていて、特に日本だとWriteupを書いている人やこう言った入門的な記事を書いている人も少ないので、ハマると楽しいのに勿体無いな〜と思っています。

この記事を読んでHack the Boxを始めようみたいな人が増えてくれたら嬉しいです

また、セットアップなどの部分は@v_avengerさんの下の記事が一番分かりやすいと思います。

qiita.com

僕も次のランクのPro Hackerを目指して頑張りたいと思います🏃‍♀️