Falsos positivos en hydra

Iniciado por Hacelo, 31 Diciembre 2012, 17:05 PM

0 Miembros y 1 Visitante están viendo este tema.

Hacelo

Hola, estoy realizando unas pruebas con Hydra contra un router pero siempre me arroja el mismo user y pass como encontrados, es decir el primero de la lista ya que utilizo el comando -t 1 .
Una vez que llega a este punto, detiene el ataque porque supuestamente interpreta que ya ha encontrado la pass.

Tambien he probado con la interface grafica de hydra, pero los resultados han sido los mismos. Mi pregunta es si ¿sabeis que estoy haciendo mal  para evitar estos falsos positivos o puede ser que el router se defienda?
Por si sirve de algo posteo la linea de comando que utilizo:
hydra 192.168.1.1 -l admin -P mi_diccionario -t 1 -e ns -f -V http-get

Gracias de antemano y un saludo.

ameise_1987

 muy simple, tienes idea del status que devuelve el servidor??, sabías que el ataque de fuerza bruta se basa en las respuestas del servidor, tanto status como mensaje de error u otro mensaje??, y que no existen respuestas genéricas??.

resumiendo, antes de realizar un ataque de fuerza bruta, se debe analizar el tráfico que se genera, si luego unos intentos te aparece un capcha, o si te banea, etc....

la fuerza bruta de por si es tediosa imagínate realizar fuerza bruta y a lo loco.

saludines!.
firma retirada por insultar/cachondearse de (anelkaos) del staff.

Hacelo

Hola ameise_1987, ante todo gracias por responder.
Llevo algun tiempo estudiando tutoriales de estos que andan por la red sobre Hydra y hasta ahora no he encontrado nada de lo que tu has comentado que segun parece es la clave para llevar acabo este ataque.
He llegado incluso a leer en alguno de estos tutos., que el manejo de Hydra era muy sencillo, cosa que a mi no me lo parece. je je...

Sabrias decirme, si no es mucha molestia, donde puedo encontrar algo de informacion referente a este asunto o quizas, podrias ampliar un poquito mas tu explicacion ???  por que yo he probado con  varios de los diferentes comandos de Hydra obteniendo siempre el mismo resultado.


Saludos y muchas gracias

pierpiter

Con esto te debería funcionar:

hydra -vV -l admin -P /path_del_dicc 192.168.1.1 http-get

De todas formas, deberías analizar un poco más la comunicación para ver lo que comenta ameise.

Respecto al resto de las opciones, en la consola ejecutá:


hydra -h
ó
man hydra


Con eso tenés una idea y después podes profundizar más sobre cada parámetro y su funcionamiento.

:)

Hacelo

#4
Gracias pierpiter.
Haciendo caso de vuestros consejos ya he empezado a escanear y a comparar las diferentes respuestas que ofrece el router cuando me conecto manualmente a traves del navegador o cuando me conecto a traves de hydra, y la verdad es que los resultados son algo diferentes.
Lo que si creo tener claro es que no me aparece un capcha pero, cuando lo intento a traves de telnet al cuarto intento fallido se desconecta el host.
Ahora es lo que trato de analizar y de estudiar para ver si llego a obtener alguna conclusion.

Cita de: pierpiter en  5 Enero 2013, 07:59 AM
Con esto te debería funcionar:

hydra -vV -l admin -P /path_del_dicc 192.168.1.1 http-get


Esta opcion tampoco me ha funcionado pero se admiten todo tipo de sugerencias.  :¬¬
Saludos y gracias por responder.




ameise_1987

#5
Web-based login forms prerequisites

You need to know:

   The hostname/IP and URL
   Whether it is a HTTPS or HTTP service
   Whether the form supports GET or POST (or both)
   The parameters of the request
   The difference in response between success and failure
   Whether any session cookies are required to be set or maintained
   What lockout features and thresholds are enabled (if any)

Not knowing or understanding the above information can be a big cause of failure.

HTTP form based auth:
http://insidetrust.blogspot.com/2011/08/using-hydra-to-dictionary-attack-web.html

video:
http://www.sillychicken.co.nz/2011/05/how-to-brute-force-http-forms-in-windows/
firma retirada por insultar/cachondearse de (anelkaos) del staff.

Hacelo

Gracias ameise_1987.

Esta info que has dejado esta muy bien, es mucho mas avanzada de la que yo habia encontrado.
Ahora ya, con los conceptos un poquito mas claros, voy a intentar configurar Hydra para que funcione correctamente.


Cita de: ameise_1987 en  6 Enero 2013, 03:32 AM

   Not knowing or understanding the above information can be a big cause of failure.

Que razón tienen.... :)

Saludos y gracias por compartir.

BTshell

prueba con medusa:

Hola a todos, en este caso os voy a mostrar cómo utilizar medusa, hace la misma función que hydra, pero como el conocimiento es libre, también merece la pena saber que esta herramienta está ahí y que se puede usar para los ataques de brute forcé. (Aunque particularmente prefiero hydra).

Bien, lo primero será abrir un terminal en el que escribiremos el siguiente código pero modificando las zonas en rojo por los datos que tengamos:

medusa -h nº_ip_host_a_atacar -U diccionario_usuarios.txt –P dicc_password.txt -O nombre_del_archivo_donde_guardara_las_password.txt -M ftp

Quedaría algo así como en la imagen de abajo:



Si nos fijamos en la imagen yo ya he modificado los datos de las zonas rojas por los míos propios y no se os olvide poner bien la ruta donde tengáis vuestros diccionarios.

Bien, ahora le damos a enter y medusa comenzara el ataque de fuerza bruta como podemos ver en la siguiente imagen, ya lo único que carbría sería esperar a tener suerte con nuestros diccionarios.



Si nos fijamos, medusa ya está trabajando en la búsqueda del usuario y la pass, en este caso por vía ftp como podemos apreciar en la imagen de arriba.

A continuación os dejo una lista con los comandos de medusa:
-u sirve para usar un nombre de usuario concreto
-U sirve para usar un diccionarios conlos nombres de usuarios.
-P sirve para usar el diccionario donde tenemos las posibles password.
-h Sirve para indicar un host concreto a atacar.
-H Sirve para indicar un fichero de host.
-F Parará la ejecución tras encontrar una password.
-O Fichero donde se guardara las password encontradas.
-M Sirve para especificar el módulo a utilizar. HTTP, TELNET, IMAP,FTP,...

Como siempre os dejo el enlace para que el que quiera se descargue el tutorial en pdf:  http://www.mediafire.com/view/?nygmdjme7n5j6x9

Aquí os dejo un video de como crear nuestros propios diccionarios:



Aqui os dejo el enlace de descarga del archivo para crear diccionarios:  http://www.mediafire.com/?015avj3z6xt4f61

Pues bien (Eso es todo) Duda o sugerencia aquí en el foro.

ameise_1987

firma retirada por insultar/cachondearse de (anelkaos) del staff.

Hacelo

#9
Hola, he estado tratando de ver el codigo de la pagina que arroja el router, y asi poder acceder a los campos de user y pass para poder configurar Hydra pero, no se  porque, no me deja abrirla.
¿Me podrias orientar de como hacerlo o si en este caso en particular no es posible acceder al codigo?. Yo por mucho que lo intento no doy con la solucion ya que no vale con la opcion "ver codigo fuente".

Aqui dejo la imagen de la web en cuestion por si sirve de ayuda.        

http://imageshack.us/a/img441/5673/dlink.png

Saludos y muchas gracias.