web-dev-qa-db-ja.com

l0phtcrackの問題

最近、会社のWebサイトを作成し、サーバーだけでなくペネトレーションテストを依頼されました。 SQLマップを実行しましたが、脆弱性はありませんが、ハッシュと状況が十分に良好であるかどうか、およびサーバー自体の脆弱性を確認したいと思います。私が訓練したとき、L0phtcrackの作業コピーがありました。トライアルをダウンロードして、それでも同じくらい良いかどうかを確認しました。

私はそれを次のように設定しました:

>  · Retrieve passwords by sniffing the local network   · Perform
> 'Strong' password audit   · Display domain password belongs to   ·
> Display passwords when audited   · Display password hashes   · Display
> time spent auditing each password   · Give visible notification when
> done auditing   · Show method used to crack password

しかし、これは私を取得します:

暗号化されたパスワードはインポートされませんでした。 l0phtcrack6ウィザードは続行できません。別のパスワード取得を試してください。

そこで、ウィザードを再度実行して、問題があるかどうかを確認するためにローカルPCをチェックします。同じ応答が返され、何もできません。

だから私は2つの質問があります:

1:私は何が間違っているのですか?私が適切に侵入テストを行い、非常に錆びてから、かなりの数年が経ちました。

2:パケットを検出してクラックするために、現在そこにあるより良いものはありますか?スニッフィング用のwiresharkについて知っています。

- -更新 - -

私は今、それがサポートおよび開発されなくなったことに気づきました。その場合、パケットスニッフィングとクラッキングの良い代替手段です。

1
Marriott81

私は長い間l0phtcrackを使用していませんが、試してみることをお勧めします John the Ripper

また、Windows用のコミュニティ拡張バージョンの1つを入手することをお勧めします。ここに直接リンクがあります http://www.openwall.com/john/g/john179j5w.Zip

また、組み込みのワードリストでは不十分な場合があるため、適切なワードリストを取得することをお勧めします。 https://wiki.skullsecurity.org/Passwords から始めるのに適したワードリストがいくつかあります。

JTR構文は少し混乱する可能性がありますが、パスワードクラッキングを実際に実行したい場合は非常に強力です。

2
Casey