当サイトの一部ページには、アフィリエイト・アドセンス・アソシエイト・プロモーション広告を掲載しています。

Amazonのアソシエイトとして、Security Akademeiaは適格販売により収入を得ています。

広告配信等の詳細については、プライバシーポリシーページに掲載しています。

消費者庁が、2023年10月1日から施行する景品表示法の規制対象(通称:ステマ規制)にならないよう、配慮して記事を作成しています。もし問題の表現がありましたら、問い合わせページよりご連絡ください。

参考:令和5年10月1日からステルスマーケティングは景品表示法違反となります。 | 消費者庁

WPScanを起動できない【ハッキング・ラボ編】

はじめに

いつもブログをご覧いただきありがとうございます。

コーストFIRE中のIPUSIRONです😀

IPUSIRONのプロフィールを見る

事象

『ハッキング・ラボのつくりかた 完全版』P.691でWPScanというツールを使ってWordPressサイトをスキャンしますが、wpscanコマンドを実行しても起動しないという現象が起きます。

原因

ParrotOSにはWPScanがデフォルトインストールされていないことが原因です。

余談ですが、Kaliではデフォルトインストールされていると思います。

ParrotOS 6.0で試したところ、wpscanコマンドを実行しても起動しませんし、アプリをシステム内で検索しても見つかりませんでした。

解決策

WPScanを手動でインストールします。

インストール方法はいろいろありますが、もっとも簡単なのはgem intallコマンドでインストールする方法です。

1:仮想マシンをインターネットにアクセスできる状態にします。仮想NICを一時的にNATに割り当てればよいでしょう。

2:次のコマンドを実行します。

┌─[ipusiron@parrot]─[~]
└──╼ $sudo gem install wpscan

エラーが出ずに、"XX gems installed"と表示されれば、インストールが成功したはずです。

3:wpscan -hコマンドを実行してください。

┌─[ipusiron@parrot]─[~]
└──╼ $wpscan -h

ヘルプが表示されれば、成功です。

4:引き続いてネットがつながった状態で、WPScan内のDBをアップデートします。

┌─[ipusiron@parrot]─[~]
└──╼ $wpscan --update
_______________________________________________________________
         __          _______   _____
         \ \        / /  __ \ / ____|
          \ \  /\  / /| |__) | (___   ___  __ _ _ __ ®
           \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
            \  /\  /  | |     ____) | (__| (_| | | | |
             \/  \/   |_|    |_____/ \___|\__,_|_| |_|

         WordPress Security Scanner by the WPScan Team
                         Version 3.8.25
                               
       @_WPScan_, @ethicalhack3r, @erwan_lr, @firefart
_______________________________________________________________

[i] Updating the Database ...
[i] Update completed.

アップデートせずにWordPressサイトをスキャンしようとすると、WPScanはスキャン前に勝手にアップデートを試みます。"Updating the Database …"というメッセージから、そうした挙動を読み取れます。
しかし、ハッキング・ラボの実験はプライベートネットワークで実施されているため、ネットにアクセスできません。
結果的に"Scan Aborted: Unable to get https://~~"というエラーを表示して、アップデートとスキャンに失敗します。
よって、以後アップデートを要求された場合は、面倒かもしれませんがネットに接続してください。
※一度アップデートすれば何回も要求されないはず。

5:仮想NICをプライベートネットワークに切り替えて、実験を継続してください。

参考サイト