最近、会社のWebサイトを作成し、サーバーだけでなくペネトレーションテストを依頼されました。 SQLマップを実行しましたが、脆弱性はありませんが、ハッシュと状況が十分に良好であるかどうか、およびサーバー自体の脆弱性を確認したいと思います。私が訓練したとき、L0phtcrackの作業コピーがありました。トライアルをダウンロードして、それでも同じくらい良いかどうかを確認しました。
私はそれを次のように設定しました:
> · Retrieve passwords by sniffing the local network · Perform > 'Strong' password audit · Display domain password belongs to · > Display passwords when audited · Display password hashes · Display > time spent auditing each password · Give visible notification when > done auditing · Show method used to crack password
しかし、これは私を取得します:
暗号化されたパスワードはインポートされませんでした。 l0phtcrack6ウィザードは続行できません。別のパスワード取得を試してください。
そこで、ウィザードを再度実行して、問題があるかどうかを確認するためにローカルPCをチェックします。同じ応答が返され、何もできません。
だから私は2つの質問があります:
1:私は何が間違っているのですか?私が適切に侵入テストを行い、非常に錆びてから、かなりの数年が経ちました。
2:パケットを検出してクラックするために、現在そこにあるより良いものはありますか?スニッフィング用のwiresharkについて知っています。
- -更新 - -
私は今、それがサポートおよび開発されなくなったことに気づきました。その場合、パケットスニッフィングとクラッキングの良い代替手段です。
私は長い間l0phtcrackを使用していませんが、試してみることをお勧めします John the Ripper 。
また、Windows用のコミュニティ拡張バージョンの1つを入手することをお勧めします。ここに直接リンクがあります http://www.openwall.com/john/g/john179j5w.Zip 。
また、組み込みのワードリストでは不十分な場合があるため、適切なワードリストを取得することをお勧めします。 https://wiki.skullsecurity.org/Passwords から始めるのに適したワードリストがいくつかあります。
JTR構文は少し混乱する可能性がありますが、パスワードクラッキングを実際に実行したい場合は非常に強力です。