どうも、のみぞうです。趣味でセキュリティをやっている者です。
これはセキュリティ Advent Calendar 2020の22日目の記事です。
TryHackMeをこれからはじめてみようかなー?と思っている方は
よかったらこちらの記事もどうぞ
TryHackMeとは?
概要
簡単に言うと、脆弱性のあるマシンが提供されて、いつでも好きな時にリモートでペネトレーションの勉強ができるサービスです。
同様のサービスにはHack the BoxやVulnHubがあると思います。私はどれも試したことがありますが
- Hack the Box ←Try Harderと言われましても。もっと優しくしてくれないと無理
- VulnHub ←まずVMをダウンロードしてくるのめんどい無理
という、マシンより脆弱で惰弱なその性格によりTryHackMeに落ち着きました。
良いところ①スモールステップ
テーマごとに「Room」(Hack The Boxで言うところのマシン)という単位で分かれていて、更にルームの中で「Task」という「これをやっていけばいいよ」という道標が示されているので、何をしたら良いかすらわかりません!絶望した!という状態に陥りにくく、安心して学習を進めることができます。
あとわからなかったらヒントがある(こともある)
良いところ②学習の道筋が明確
いくつかのRoomをさらに目指す目標ごとにまとめたLearning Pathsという学習の道筋があり、自分がそのpathの中で進捗率何%かというのが表示されます(進捗の可視化)
私は一応やっとくか…くらいの気持ちでComplete BeginnerというPathを始めたのですが、初心者向けとはいえ結構知らなかったことが多くて知識の穴埋めに役立ってます。
初心者までの道は遠い…
30日間続けてみた
何かしらの問題を解いたり、ルームの中のマシンをデプロイしたり?まあとにかくログインしてなんらかの行動をとると、Githubみたいに芝?草?が生えていきます。
続けてみて、急につよつよになったとか、ハッキングができるようになったとか、そういうことは残念ながらないのですが
- 毎日何かしらの発見がある (一切知らなかったツールを強制的に使うことになったり、知らなかったオプションについて問われたり、日々発見があります)
- 英語を読むことが習慣になった(読めるとは言ってない)
などのよい点があるので、今後も続けていきたいと思います。
続けるためのコツ
「No answer needed」な設問をあえて残しておくのはマジで大事。どうしても仕事や遊びタスクがこなせないとき、これで何度か救われてます。(ぜんぜん本質じゃないですが…)
来年の目標
King of the Hill という機能に興味があります(まだβ版みたいだけど)
最大10人のプレイヤーで特定のマシンに一斉にハッキングをして、いち早くroot権限を奪取して、自分が入ったあとはなんとかして他の人が入ってこれないようにして、ついでにフラグも探すぜ〜。
という、SECCON本戦でもやってる上流階級の遊びだと聞きます。
来年は、こういうのに参戦して少しくらいは戦えるようになりたいなー。難しそうだけど、とりあえず宣言しといたほうが成功率が上がりそうなので言ってみます。
お互いTry Harderしましょ〜(ง •̀_•́)ง‼
