8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント

Shell In A Boxでの操作

CTFの競技では、Shell In A BoxというWebブラウザからCLI接続できる仕組みを使う場合があります。
Linuxの操作という意味ではコマンド等は変わりませんが、コピー&ペースト作業に少し戸惑う可能性がありますので、
操作について簡単にまとめます。
1.利用者の操作

1.1 接続方法

ブラウザで接続します。
ポート番号は4200番などを利用します。
以下のように、httpsではじめ、IPアドレスとポート番号を指定して接続します。
https://203.0.113.215:4200

以下のような画面になります。Linuxと同様に、ユーザIDとパスワードを入力してログインします。

1.2 コピーアンドペースト

1)貼り付け(Copy)

Shell In A Box に、PCのメモ帳などから張り付ける(ペースト)とき
❶右クリックして[Paste from browser]を選ぶと、入力フォームが表示される。

❷ペーストしたい内容を入力(またはCtrl+V)し、[OK]をクリック

2)コピー(Paste)

逆に、Shell In A Box 上のコマンド結果などをコピーする場合
右クックの「Copy」はうまくいかないので、キーボードのCtrl+Cを使う

2.【参考】管理者による環境構築

(1)概要

・ブラウザで接続し、そこからLinuxのコマンドを打てるようにする。
・そのために、shellinaboxを入れる
・セキュリティを保つための踏み台サーバとしても使えるだろう。
・ポート番号は4200であり、https://xxxxx:4200 でアクセスする。

(2)注意点など

・shellinabox(Shell in a box)を入れるということは、SSHでは接続させたくないということだと思われる。であれば、22番ポートのSSHでのPWログインを拒否しておく(デフォルト)がいいだろう。
・ポートを変えることもできるが、80で待ち受けるにはnginxが必要な気がする
・以下はポートを変えているが、変える必要はない。

(3)インストール
#epelのインストール
amazon-linux-extras install epel -y
#以下は入っているかも
yum -y install openssl
#Shell in a boxをインストール
yum -y install shellinabox
#自動起動の設定
systemctl enable shellinaboxd.service
#サービス起動
systemctl start shellinaboxd.service
(4)ポート番号を変える場合

・4200を8000に変えてみる
・デフォルトの設定(/etc/sysconfig/shellinaboxd)は以下

#PORT=4200

・設定変更の流し込み

#設定ファイルのバックアップ
cp /etc/sysconfig/shellinaboxd /etc/sysconfig/shellinaboxd.org

#ポートを8000に変更
sed -i '/^PORT=4200/ s/PORT=4200/#PORT=4200\nPORT=8000/' /etc/sysconfig/shellinaboxd

#再起動
systemctl restart shellinaboxd.service