Ataque Bruteforce Com Hydra Parte 1 PDF
Ataque Bruteforce Com Hydra Parte 1 PDF
Ataque Bruteforce Com Hydra Parte 1 PDF
O que bruteforce?
O ataque de bruteforce consiste em tentativas consecutivas de verificao de strings sobre um servio de um alvo, a qual utiliza-se uma
wordlist (banco de palavras) para verificao dos dados. Dando exemplo mais simples, ele pega palavras dessa wordlist (como exemplo
de uma senha) e faz uma srie de verificaes com cada palavra at ser equivalente a real senha.
SAP/R3
SIP
SMB
SMTP
SMTP-Enum
SNMP
SOCKS5
SSH(v1 and v2)
Subversion
Teamspeak (TS2)
Telnet (Protocolo que iremos utilizar)
VMware-Auth
VNC and XMPP
Ela vem instalada por padro nas distribuies de PenTest como o Kali Linux. Caso no tenha em sua distro, utilize nossa ferramenta
Organon para realizar a instalao dela. Mas se quiser instalar manualmente, siga as instrues abaixo.
Note que ele pega a verso do RDP que 4, e tenta realizar a sequncia de ataques revelando a senha 12345. Descoberta a senha agora
s basta iniciar o servio e efetuar o login.
No exemplo (2) um exemplo bem simples de ataque, onde atacamos o alvo com a utilizao de uma wordlist para tentar
descobrir login e senha, sendo nosso alvo o www.cienciahacker.com.br (ou pode substituir pelo endereo IP do site) rodando no alvo o
servio de FTP. Uma opo desse ataque a opo -v que envia requisies pausadamente para que evite que um firewall ou
mecanismo de segurana do alvo bloqueie seu ataque, usado muito como ataque a cegas por no saber nem o login e senha do site.
Isso so apenas demonstraes de exemplo de ataques que podem ser utilizados, uma vez analisado o servio do alvo voc deve fazer as
configuraes corretas no ataque de acordo com o alvo. Para saber todas essas informaes, existem tcnicas de varreduras e scan que
algumas ferramentas realizam, como j apresenta aqui o tutorial do Nmap.
Um recurso interessante do THC Hydra o fato de que caso voc sofra uma interrupo durante o ataque, seja pela queda da conexo
ou bloqueio, voc pode retornar ao ponto que voc parou e continuar o ataque. Lembrando que durante o PenTest o ataque de
bruteforce visto como o ltimo recurso de ataque devido no existir nenhum esforo para realizar tal prtica.
A eficincia do ataque relacionada a fraqueza da senha criada no servio, existem diversos servios privados ou governamentais que
utilizam senhas padres nos logins, ou muitos administradores desses servios criam uma senha frgil a qual pode ser
facilmente quebrada pelo processo de bruteforce.