- Published on
Kali LinuxでWordpressサイトをブルートフォースアタックする
- Authors
- Name
- Shou Arisaka / 有坂翔
ブルートフォースアタックとは、"総当り"です。 確率の高いパスワードのリストがあって、それをそれぞれ当てはめていく感じです。
こういった手法はハッキングにも使われますが、ペンテストにも使われます。 つまり、自分のサイトのセキュリティを確認するために使われます。
ですから、自分のサイトのセキュリティを確認するために使うのは問題ありませんが、 他のサイトに使うのは法律上問題がある場合があるため、絶対にやめましょう。
今回はそれをwordpressサイトのパスワード特定のために使ってみます。
ユーザー名を特定する
まず、ユーザー名を特定しなければなりません。 しかし、これはとても簡単です。
wpscan -u sorerori.com --enumerate uこのコマンドだけでユーザー名がリストで出力されます。
パスワードを特定する
ユーザー名がわかったら、それとハッシュの関係になっているパスワードを特定します。 ここで、ブルートフォースアタックの出番です。
wpscan -u sorerori.com --username hoge --wordlist ~/dev.txtこのコマンドでしばらく待っていれば、パスワードがあればパスワードを、なければ空白を返します。
■ブルートフォースアタックはサーバーに負荷を与えます。過度にやらないようにしましょう。
今回の手法は、こちらを参考にしました。 https://www.youtube.com/watch?v=9tLUbsdNX88