Kali Linux 2021.1でOkadminFinderを使用しWebサイトの管理パネル(ログインページ)を発見する

スポンサーリンク

Kali Linux 2021.1でOkadminFinderを使用しWebサイトの管理パネル(ログインページ)を発見してみます。

OkadminFinder(https://github.com/mIcHyAmRaNe/okadminfinder3)は、Pythonで書かれたツールで、Webサイトの管理パネルを見つけることができます。また、Okadminfinderはtorを使って匿名化する機能があります。管理パネルを見つけることにより、攻撃者は、Webサイトを完全に制御できるようになってしまいます。

なお、OkadminFinderを使用するのは、torが必要ですので、Kali Linux 2021.1にインストールしておく必要があります。

なお、サイバーセキュリティ対策や情報セキュリティ教育が目的でツールを利用しますので、悪用・違法行為が目的はございません。ツールを利用することで発生したトラブルや損失、損害(ウイルス感染など)に対して、一切責任を負いません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1(Debian (64-bit),Python 3.9.2)

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。

■OkadminFinderのダウンロードとインストール

#git clone https://github.com/mIcHyAmRaNe/okadminfinder3.git

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。リポジトリをクローンします。

Cloning into 'okadminfinder3' ... remote: Enumerating objects: 323, done. remote: Counting objects: 100% (59/59), done. remote: Compressing objects: 100% (48/48), done. remote: Total 323 (delta 20), reused 28 (delta 7), pack-reused 264 Receiving objects: 100% (323/323), 296.44 KiB 985.00 KiB/s, done. Resolving deltas: 100% (159/159), done.
#cd okadminfinder3

クローン後、上記のコマンドを入力し、Enterキーを押します。「okadminfinder3」ディレクトリに移動します。

#pip3 install -r requirements.txt

移動後、上記のコマンドを入力し、Enterキーを押します。依存関係をインストールします。

インストールが開始され、「Successfully installed」と表示されれば、インストールは完了となります。

■Webサイトの管理パネルをスキャンする

#python3 okadminfinder3.py -u ***.com(ターゲットURL)

インストールが完了しましたので、Webサイトの管理パネルをスキャンしてみます。上記のコマンドを入力し、Enterキーを押します。今回は、実験のため、当サイト(https://laboratory.kazuuu.net/)を指定し、スキャンしてみます。なお、当サイトはWordpressを使用しています。

(※OkadminFinderのバージョン2.5.3を使用しています)

Enterキーを押すと、Webサイトの管理パネル(ログインページ)を探すためのスキャンが開始されます。管理パネルが見つかると「Admin page found!(管理ページが見つかりました!)」と表示されます。

攻撃者はこのようなツールを使用し、管理パネルを発見し、ログインを試みるために、パスワード解読ツールなどを用いて、Webサイトを完全に制御しようとしてきます。