Tutorial hydra para pentest
Este tutorial faz parte do GUIA COMPLETO do professional em Segurança Ofensiva de Software, saiba mais.
Aula 16: Hydra
THC Hydra é uma ferramenta para quebra de senhas online contra diversos protocolos incluindo Telnet, RDP, SSH, FTP, HTTP, HTTPS, SMB etc. A ferramenta suporta 2 modos para quebra de senha:
- Wordlist
- Incremental (Força-bruta)
16.1 Configurando ambiente
 |
| Figura 1: Criando usuários no servidor FTP |
Na máquina host Windows 10 de IP 192.168.0.10, foi cadastrado 12 usuários para serviço FTP do software FileZilla Server usando 12 senhas geradas aleatoriamente (Figura 1).
16.2 Quebrando senha FTP com Hydra
Wordlist
 |
| Figura 2: Hydra quebra de senha FTP por wordlist |
Para simular a quebra de senha FTP por wordlist com Hydra foi adicionado os usuários e senhas do serviço FTP aos arquivos userlist.txt e passwordlist.txt respectivamente, no total cada arquivo possui 24 e 20 entradas respectivamente. Foi necessário limitar o tempo de tentativa de login (-c) em 5 segundos para evitar falso positivos (Figura 2), o argumento "-t" serve para configurar o máximo de task por host mas ele é ignorado caso use o argumento "-c". Após quase 40 minutos todos os usuários e suas senhas foram descobertos, em um cenário real no qual utiliza-se uma wordlist gigante esse tempo é extrapolado.
Incremental
 |
| Figura 3: Hydra error 4bi |
O método por força-bruta é necessário configurar o charset. Este charset deve conter os caracteres a serem utilizados para gerar a senha. Digite "hydra -x -h" no terminal para mais informações. A Figura 3 acima ilustra que não foi realizado a tentativa de quebra pois a ferramenta identificou que seria necessário mais de 4 bilhões de senhas para atender o padrão passado por parâmetro.
16.3 Quebrando senha SSH com Hydra
 |
| Figura 4: Quebra senha serviço SSH com Hydra |
Para simular quebra de senha ao serviço SSH, foi realizado com uma wordlist pequena contra o serviço SSH do próprio Kali (Figura 4). A senha foi descoberta em 35 segundos. Digite "hydra -h" no terminal para obter mais informações sobre os parâmetros.
16.4 Burp + Hydra (exemplo)
Burp Suite é uma ferramenta gráfica para testar a segurança de aplicações Web. Suponha que você deseja realizar um ataque de quebra de senha contra uma página de login de um site que não possui métodos de segurança que impossibilitam essas tentativas exaustivas.
Iniciado o Burp e utilizando seu navegador integrado para acessar a página web que possui o formulário de login.
 |
| Figura 5: Burp interceptação |
Basta ativar o proxy de interceptação para capturar o formato das requisições HTTP da aplicação web ao realizar uma tentativa de login fracassada (Figura 5). Anote qualquer mensagem de fracasso na tentativa de login.
 |
| Figura 6: Hydra http-get-form |
O argumento http-get-form deve ser utilizado para montar o formato da requisição get da página web que deseja realizar o ataque. No exemplo:
"username=^USER^&password=^PASS^" - permite ao Hydra substituir as palavras "USER" e "PASS" pelo usuário e senha da tentativa de login.
":F=Username and/or password incorrect." - serve para informar ao Hydra que qualquer mensagem diferente dessa é um login válido, ou seja, descobriu a senha.
":H=Cookie:" - o formulário de login da página web de exemplo estava dentro de uma outra página web acessível apenas para usuários logados, portanto foi necessário passar o cookie do usuário logado.
COMENTÁRIOS