Linux

Kalilinux

ZAPROXYでサイト診断(2)

前回の続きです。 ZAPROXY(以下単にZAPと省略します)を使用して、他人に迷惑をかけない方法でWEBサーバーの監査を行う方法です。 Protected modeの設定 まずは左上の " Standard Mode " を " Prot...
Kalilinux

ZAPROXYでサイト診断(1)

ZAP(Zed Attack Proxy)は、オープンソースのWEBアプリケーションスキャナーです。 多機能で、初心者からプロのペンテストまで対応可能です。 ZAPは、 当初は " OWASP ZAP " と呼ばれていました。途中でOWAS...
Kalilinux

httrackでWEBサイトをコピー

tttrackはwebサイトを丸ごとコピーしてくるツール。 " httrack " の最初の " ht " は、 " http " や " html " と同じ " Hyper Text " の頭文字のhtでしょうね。多分。 今回は、右のラ...
Kalilinux

Skipfishでサイトの診断

skipfishは、googleで開発されたWebアプリケーション診断ツールです。 これで自分のサイトを診断してみます。 最近立てたばかりのラズパイ4B上のサイトです。サイトの中身は何もありません。 起動 kali ー 03 Web App...
Linux

WEBサーバーを立ててみた

kali on raspberry piが2つになったので、片方を攻撃監査する目的でWEBサーバーに仕立てました。 今回はその記録です。 左がラズパイ5、右がラズパイ4B。今回は右の4BをWEBサーバーに仕立てます。 将来的に左の5から右の...
Kalilinux

Unix-privesc-check

権限昇格の脆弱性を自己点検するツール " unix-privesc-check " の話です。 ツールの名前について " privesc " は、 " priv " と " esc " に分かれて、 priv = privilege 権限 ...
Kalilinux

HashidとHash-identifier

入手したhash値の種類(Hash関数)を推定する2つのツールです。 パスワードはハッシュ関数でハッシュ化されて、hash値(パスワードハッシュ)として保管されています。 ハッシュ関数には様々な方式があり、どの種類のハッシュ関数でハッシュ化...
Kalilinux

rcracki_mtとレインボーテーブル攻撃

今回のツールは、rcracki_mtです。 Offline Password Attackツールで、レインボーテーブルを使用してパスワード攻撃をします。 いつもは実際に実行するのですが、今回は後述の理由で実行はしていません。 他人の管理下の...
Kalilinux

MSFでパスワードアタック

online password attackシリーズも5ツール目になりました。 今回はMetasploit Frameworkでのsshログイン時のパスワード攻撃の話です。 Metasploit Frameworkは多数のモジュールを使って...
Kalilinux

Patatorでパスワードアタック

pataorは、online password attackツールです。 同じonline password atackツールの " hydra " ・ " medusa " ・ " ncrack " と同じく、相手サーバーに接続しに行って...