現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」 | ScanNetSecurity
2020.11.29(日)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール (3)「hydra」

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。

特集 特集
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュリティツールを、ペンテストの現場の視点から紹介します。


・名称…hydra
・配布制限…GPL 2
・商用版の有無…無
・類似ツール…Medusa(http://www.foofus.net/jmk/medusa/medusa.html)
・DL URL…http://www.thc.org/thc-hydra/
・対応OS…Windows、UNIX系OS、MacOS、PalmOS
・分野…オンラインパスワードクラッカー


(1) 基本項目と概要
─────────
ギリシャ神話に登場する9つの首を持つ怪物から名前を取ったと思われるオンラインパスワードクラッカー。

対応プロトコルはTELNET, FTP, HTTP, SMB, MS-SQL, MYSQL, POSTGRES ,VNC, POP3, IMAP,SSH2, SNMP,Cisco 等 多岐に渡る。

動作OSは、Linux系、Windows系はもちろん、MacOS、PalmOSにまで及んでいる。使用プロトコルにより、別のモジュールを必要とする場合があるものの、セットアップ方法は書くまでもないほど容易であるため割愛させていただく(READMEを参照いただきたい)。


(2) コマンドサンプル
──────────
hydraは、基本的にはID、パスワードに対して、辞書ファイルを用いたパスワードクラックを行うことになるが、双方のどちらかを固定にしてのパスワードクラックを行うことも可能である。

つまり、脆弱なパスワード(人名や組織名など容易に推測可能なもの)に固定し、IDに辞書ファイルを用いるといった、「脆弱なパスワードを使用しているユーザ狩り」も可能なのである…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】

NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×