WPScanを起動できない【ハッキング・ラボ編】
事象
『ハッキング・ラボのつくりかた 完全版』P.691でWPScanというツールを使ってWordPressサイトをスキャンしますが、wpscanコマンドを実行しても起動しないという現象が起きます。
原因
ParrotOSにはWPScanがデフォルトインストールされていないことが原因です。
余談ですが、Kaliではデフォルトインストールされていると思います。
ParrotOS 6.0で試したところ、wpscanコマンドを実行しても起動しませんし、アプリをシステム内で検索しても見つかりませんでした。
解決策
WPScanを手動でインストールします。
インストール方法はいろいろありますが、もっとも簡単なのはgem intallコマンドでインストールする方法です。
1:仮想マシンをインターネットにアクセスできる状態にします。仮想NICを一時的にNATに割り当てればよいでしょう。
2:次のコマンドを実行します。
┌─[ipusiron@parrot]─[~]
└──╼ $sudo gem install wpscan
エラーが出ずに、"XX gems installed"と表示されれば、インストールが成功したはずです。
3:wpscan -hコマンドを実行してください。
┌─[ipusiron@parrot]─[~]
└──╼ $wpscan -hヘルプが表示されれば、成功です。
4:引き続いてネットがつながった状態で、WPScan内のDBをアップデートします。
┌─[ipusiron@parrot]─[~]
└──╼ $wpscan --update
_______________________________________________________________
__ _______ _____
\ \ / / __ \ / ____|
\ \ /\ / /| |__) | (___ ___ __ _ _ __ ®
\ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \
\ /\ / | | ____) | (__| (_| | | | |
\/ \/ |_| |_____/ \___|\__,_|_| |_|
WordPress Security Scanner by the WPScan Team
Version 3.8.25
@_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________
[i] Updating the Database ...
[i] Update completed.アップデートせずにWordPressサイトをスキャンしようとすると、WPScanはスキャン前に勝手にアップデートを試みます。"Updating the Database …"というメッセージから、そうした挙動を読み取れます。
しかし、ハッキング・ラボの実験はプライベートネットワークで実施されているため、ネットにアクセスできません。
結果的に"Scan Aborted: Unable to get https://~~"というエラーを表示して、アップデートとスキャンに失敗します。
よって、以後アップデートを要求された場合は、面倒かもしれませんがネットに接続してください。
※一度アップデートすれば何回も要求されないはず。
5:仮想NICをプライベートネットワークに切り替えて、実験を継続してください。
https://wpscan.com/how-to-install-wpscan/