logo
Published on

Kali LinuxでWordpressサイトをブルートフォースアタックする

Authors

ブルートフォースアタックとは、"総当り"です。 確率の高いパスワードのリストがあって、それをそれぞれ当てはめていく感じです。

こういった手法はハッキングにも使われますが、ペンテストにも使われます。 つまり、自分のサイトのセキュリティを確認するために使われます。

ですから、自分のサイトのセキュリティを確認するために使うのは問題ありませんが、 他のサイトに使うのは法律上問題がある場合があるため、絶対にやめましょう。

今回はそれをwordpressサイトのパスワード特定のために使ってみます。

ユーザー名を特定する

まず、ユーザー名を特定しなければなりません。 しかし、これはとても簡単です。

wpscan -u sorerori.com --enumerate u

このコマンドだけでユーザー名がリストで出力されます。

パスワードを特定する

ユーザー名がわかったら、それとハッシュの関係になっているパスワードを特定します。 ここで、ブルートフォースアタックの出番です。

wpscan -u sorerori.com --username hoge --wordlist ~/dev.txt

このコマンドでしばらく待っていれば、パスワードがあればパスワードを、なければ空白を返します。

■ブルートフォースアタックはサーバーに負荷を与えます。過度にやらないようにしましょう。

今回の手法は、こちらを参考にしました。 https://www.youtube.com/watch?v=9tLUbsdNX88