##はじめに
Udemyでanonymousな画に惹かれ下記コースを着手しようとした、が
Kali Linuxの環境構築失敗が続いて挫折し
下記コースを塩漬けしてましたが、
意欲が再燃し、kali linuxが起動したので、備忘を残します
【サイバーセキュリティ完全攻略】ホワイトハッカー養成講座(ハッキングツール、Webアプリ攻略、不正侵入検知)
インストール完了後、自動再起動で、ログイン画面が表示されれば安心です
ログインすると、以下の通り
Kali Linux ver2019.2
Kali linux1の環境構築2が完了したので、やっとコマンド操作が試せそうです
*1 Kali linuxとはDebian系のLinuxディストリビューション
インストール時点でセキュリティツール満載のOS
Kali Linux in Action: OS としての Kali Linux
*2 インストールウィザードは基本スキップでよいが、ブートローダを[Enter]キー押下し続ける流れで、×デフォルトの「手動入力」から (私の環境では)「/dev/sda」 を選択し直さないと起動しないため注意
##ブルートフォース攻撃を試す(準備)
ブルートフォースとは
パスワードなどを総当たりで試す攻撃手法です
早速行いたいのですが、その前に準備をします
###BURPSUITEの起動
ターミナルで[burpsuite]と打鍵すると
以下のようなログ
表示されるポップに[Enter]で抜けると
BURPSUITEの画面が表示されます
###metasploitable2のセットアップ
metaploitable2とは、わざと脆弱性を持たせたLinux OS
kali Linuxのツールから、攻撃の的となるOSです
環境構築は割愛しますが、VirtualBoxで、Metasploitable.vmdkファイルを仮想マシンのファイルに指定し起動
Virtualbox Host-Only Ethernet Adapterの作成手順
ログインコンソールの表示
※ホストオンリーアダプタ―の設定に苦戦し、結果としてゲストOS間の通信はできたが(PC再起動)
ホストOSとゲストOSの通信ができないのが消化不良(ホストOSがDHCPをみにいっている?)
ともあれ、metasploitable2の設定は完了
こちらの記事でNATの設定を理解
VirtualBox CentOS6.7 64bitでNAT、ホストオンリーアダプターを使用
ブラウザの設定(kali linux側)
設定>インターネットプロキシで
プロキシを「127.0.0.1」に手動設定します
BURPSUITEがなりすましプロキシとして機能し、
通信傍受(通信の中身を盗み見て、ID/PASSWORDを知ること)も、
改ざん(ログインIDを変える)ことも可能になります
##ブルートフォース攻撃を試す
kali Linuxでブラウザを起動
metaploitable2にアクセスします
初期ページからDVWAを選択
ログイン画面を[admin][Password]で抜けます
以下の通り
適当なUser、Passを入力すると、BURPSUITEにその値が、表示されます
※BURPSUITEでInterceptをONにしたままにすると、通信がジャックされる為、
画面遷移しないので気をつけます
少しBURPSUITEに慣れたところで、いよいよブルートフォースを試します
ID、PASSが表示された、
PROXY>RAW 画面上で、右クリック
[Send To Intruder]を選択します
Intruder > Positionsで値を改ざんする部分にハイライトを当てます
Inturuder>Payload で辞書を登録
※ハイライトを当てた時、Attack Typeが[Cluster Bomb]かつハイライト数が2か所で
Payload Setが2となります、
Intruder タブより、Start Attackを選択するとポップ画面が表示し
ブルートフォースが開始