web-dev-qa-db-ja.com

ncrackによる基本認証のテスト

基本認証で保護されたページに対して基本的なペンテストを実施しています。私はMedusaとHydraでテストに成功しましたが、ncrackの構文を正しく取得するのに苦労しています。

私が使用していた構文は通常次のエラーを出します(それが何を意味するのか完全にはわかりません)

Starting Ncrack 0.4ALPHA ( http://ncrack.org ) at 2014-05-10 13:37 EDT
Failed to resolve given hostname/IP: . Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges*

webページは、Webページ/〜alice/secret /を指すローカルVMでホストされています

ncrack -m http -U users -P Adobe25 http://webserver_ip -path /~alice/secret/

この構文を説明/修正する上での助けがあれば大歓迎です。

2
user46352

pathオプションは、次のように-g(グローバル)または-m(モジュール固有)オプションと組み合わせて使用​​する必要があります。

ncrack -m http -U users -P Adobe25 http://webserver_ip -g path=/~alice/secret/

ただし、Ncrackは維持されないことに注意してください。 Nmapの http-brute スクリプトを使用したほうがよいでしょう。 Ncrack Webページから:

廃止のお知らせ:Ncrackは2009年に「Google Summer of Code」プロジェクトとして作成されました。いくつかの目的には役立ちますが、未完成のアルファ品質のソフトウェアであり、現在はメンテナンスされていません。代わりに、Nmapのスクリプトエンジン(NSE)の一部として含まれているブルートフォーススクリプトをお勧めします。

編集:2016年の春、Ncrackの筆頭著者であるIthilgoreは、Ncrackに関する作業を再開しました。再び活発に開発中です Github上

4
bonsaiviking