CTFもやったことがない初心者が先週からHack The Box (HTB) を始めて、現在やっと2つのrootを取ることができました。
ただ、Hack The Boxって何?と聞かれてもCTFを楽しめるサービス?というようにしか答えられない気がしたので少し調べてみました!
とにかくHack The Boxを始めたい!という人は以前に書いたこちらのブログかこちらのQiitaの記事が参考になります。
Hack The Boxを始めて1つrootを取るまでのメモ - Security Index
Hack The Boxを楽しむためのKali Linuxチューニング - Qiita
会社概要
2017年6月創業でまだ設立3年程しか経っていないイギリスの会社です。
従業員数も11~50人ほどの規模のようです。
https://www.crunchbase.com/organization/hack-the-box
全世界での利用者は現在34万人以上。
パートナー
Hack The Boxとパートナー、スポンサーを結んでいる企業がいくつかあります。
Parrot OSというペンテストやフォレンジックがしやすい環境が揃っているDebianベースのディストリビューションを提供しているParrot Securityがパートナーになっています。
2020年5月8日のプレースリリースでHack The Boxのプラットフォームに組み込まれ、HTBユーザーが気軽に利用できるようになり、Parrot OSにフィードバックが届くようになる、という流れを期待しているようです。
Hack The Box + Parrot OS :: Press Release :: Hack The Box :: Penetration Testing Labs
3年でセキュリティ企業9社とパートナー、スポンサー契約をしているようなのでなかなか凄い・・・
サービス
ラボ
利用者はラボをペネトレーションテスト(侵入テスト)の学習を無料ですることができます。
ラボは以下の2つのタイプがあります。
Machine : 脆弱なLinux / WIndow サーバーに侵入し、root権限(root.txt)を取る
Challenge : CTFでよくあるJeopardy形式の問題を解く
トレーニングコンテンツ:「Hack The Box」を触り始めてみた: NECセキュリティブログ | NEC
常に20台の最新のMachineを使って学習することができ、過去の110台以上のMachineも月に1400円程払ってVIP会員になることで利用することができます。
Machineをクリアすることでポイントを得ることができるのでそのポイントで世界中のユーザーとポイントを競うことができます。
他のCTFでもそうですが、ポイントやランキングといったゲーム要素があるためより楽しめるようになっています。
日本だと恐らくAquaさんが57位でTopです!
また、First Bloodという初めてそのMachineを攻略した人には追加でポイントと誰がどのくらいの時間かかったのが表示されます。
MachineやChallengeをクリアしポイントが増やすことでランクをあげることができます。
私はまだ「Script Kiddie」ですが、「Hacker」->「Pro Hacker」->「Elite Hacker」->「Guru (達人)」->「Omniscient (全知、神) 」とランクを上げていくことができます。
プロラボ
実際の企業の環境をシュミレートしたプロラボというものもあります。
月額£20 (年間£220) + セットアップ£70 の費用がかかりますがより本格的なペンテストを体験できるのだと思います。
現在は3つの環境が用意されています。
Job Offer
Hack The Box内で求人が出ているのでランクを上げて求人に応募することもできます。
上記の求人はElite Hacker以上のランクがないと応募できないものです。
内容は6point6という会社がRed Teamのシニアペンテスターとして募集しているものです。
この求人の勤務地はLondonで、それ以外にもベルリン、ドイツ、スイス、シンガポールなど。恐らく勤務地が日本のものはないと思います。
その他
(ISC)2 CPE サポート
VIPメンバーのみですが、CISSPの資格を維持するためにも必要なCPEクレジットの提出も可能です。
Active MachineのEasyの問題を解いたら2ポイント、Mediumなら4ポイントといった形で割り振られています。
ISC2 CPEs :: Press Release :: Hack The Box :: Penetration Testing Labs
Store
Hack The Boxの公式アイテムも販売しています。
ステッカーやTシャツ、パーカーなど。
送料も£5で送れるようなので今度買ってみようかな。
最後に
Hack The Boxは設立からまだ3年程しか経っていませんがユーザー数34万人以上、パートナー・スポンサーも9社と大きく成長しています。
今後も期待できそうなので今から公式グッズを買ってみようかな!
私自身がまだまだEasyの問題でも解くのに苦戦するレベルなので、レッドチーム実践ガイド買ったので明日から読んで勉強します!
-> 読んで内容をまとめた記事はこちら
サイバーセキュリティ レッドチーム実践ガイド その1 - Security Index
まだ書き足りない気がするので今後も少しずつ追記していきたいと思います!
Hack The Boxと他のCTFの違いなども書きたかったのですが、私自身が他のCTFをやったことがなく書けませんでした・・・
こんな違いがあると思うよーと知っている方がいましたらコメントに書いてくださると嬉しいです!
よりHack The Boxをやってみたイメージを掴むためにSaunaというWindowsマシンのWalkthrough(Writeup)を読むのもおすすめです。
Hack The Box: Sauna Walkthrough (IppSec) - Security Index
Twitter (@security_index) | Twitter