Login bruteforce con Hydra
Hydra è un programma che troviamo installato di default nella distro BackTrack.
Viene anche rilasciato per altre piattaforme come Windows.
Può effettuare bruteforce su molti tipi di protocolli: si va dall' HTTP/s fino al FTP, dal TELNET al VNC, dai Router (con delle speifiche sugli apparati CISCO), fino al POP e a vari tipi di database come MYSQL e PostgreSQL.
Dispone anche di una comoda interfaccia, XHydra, ed è quella che useremo.
Il miglior modo per provare Hydra è usare BackTrack.
Avviate il live cd o installatelo in virtuale.
Come potete vedere la gui XHydra è molto semplice e intuitiva.
Le prime opzioni da inserire sono:
- il/i Target; possiao inserire un singolo target o usare una lista in txt precedentemente creata cliccando su Target list
- la porta, che bisogna scegliere in base al protocollo da attaccare
- il protocollo
- altre opzioni:
- SSL per vedere gli attacchi diretti a SSL
- Show Attemps per mostrare tutti i tentativi di login
- Be Verbose per vedere tutta la procedura
Nella scheda Passwords dovremmo inserire le nostre credenziali e dire al programma come usarle.
Anche qui possiamo usare la modlità singola o la lista in txt, sia per lo username che per la passwords.
Le opzioni alla fine sono:
- Try Login as Password da la possibilità di usare lo username come password
- Tra Empty Password prova un attacco con password vuota
Le opzioni della scheda Tuning sono:
- Number of Tasks, il numero di tentativi da fare
- Timeout, il timeout da rispettare secondo i tentativi inseriti precedentemente
- La possibilità di mascherarsi dietro un Proxy HTTP / HTTPs
Queste impostazioni in genere non vengono settate nei test, ma solo nei veri e propri attacchi.
La scheda Specific ci sono ancora altre informazioni che riguardano altra protocolli con le impostazioni per altri metodi di autentocazionei, quali Ldap e Proxy.
L'ultima scheda è vuota e corrisponde all'output.
Vi allego anche un video dimostrativo:
{youtube}VPnbEm7ozns{/youtube}
hydra xhydra linux backtrack attacco brutefor
Commentami!