C
月内に
Hack The BoxのLinuxマシン「VariaType」を攻略するウォークスルー記事です
📌 一言でいうと
Hack The BoxのLinuxマシン「VariaType」を攻略するウォークスルー記事です。フォントファイルのアップロード機能とFontForgeの脆弱性を悪用してウェブシェルを書き込み、最終的に特権昇格してルート権限を取得する手法が解説されています。また、公開Gitリポジトリからの認証情報漏洩などの偵察プロセスも含まれています。
🔍該当判定
- 自社で運用しているWebサイトに、ユーザーが独自のフォントファイルをアップロードできる機能がある
- サーバー上でフォント作成・編集ソフトの「FontForge」をインストールして利用している
- Linuxサーバー上で、外部からアップロードされたファイルを処理するプログラムを動作させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
ユーザーによるファイルアップロード機能を制限し、特にバイナリファイルの処理に外部ライブラリ(FontForge等)を使用する場合は、最新バージョンへの更新とサンドボックス化を検討してください。また、Gitリポジトリに機密情報が含まれていないか定期的に監査してください。