私はペンテストの世界は初めてです。私はポート23で開かれたTelnetサービスを介してアクセスを取得する方法を学習しようとしています。
Metasploitを使用しています。私が試みている最初のアプローチは、telnet_login
モジュールを使用して、ターゲットに対する辞書攻撃を試みることです。 USER_FILE
とPASS_FILE
を設定する必要があることを確認しました。
Kaliにはサンプルser.txtおよびpass.txtファイルがありますか? Telnetサービスを攻撃するより良いアプローチはありますか?
Kaliには、組み込みのパスワードWordリストが含まれています。これらは圧縮されており、次の場所にあります。
/usr/share/wordlists/
ユーザー名は通常、サービスが使用する形式にかなり依存しており、通常はかなり一意であるため、ユーザー名のリストはわかりません。
次のような明らかな潜在的な名前を含む、ユーザー自身のための単純な非網羅的なWordリストをまとめることができます。
ただし、これを使用して自分のシステムを攻撃しているので、ユーザー名が何であるかはすでにわかっているはずです。
このようなツールを使用して、明示的なアクセス許可がないシステムを攻撃するべきではないことを簡単に思い出してください。それは犯罪でしょう。