Fuerza bruta

Iniciado por fokin, 17 Febrero 2014, 19:59 PM

0 Miembros y 1 Visitante están viendo este tema.

fokin

Hola a todos, llevo un tiempo con una cuestión inquietante que me gustaría que me resolviérais.

Sería posible lanzar un ataque de fuerza bruta con Hydra (u otra herramienta) a un formulario como puede ser por ejemplo; una página tiene activado el /admin en su sitio web y le pide usuario y contraseña, por ejemplo:
http://www.ejemploweb.com/admin Dentro de esa dirección puede ingresar usuario y contraseña para poder tener privilegio dentro del sitio web
O también por poner otro ejemplo, una página de phpMyAdmin..

Sería posible eso? En caso de serlo, me gustaría que me pusierais un ejemplo de como se lanzaría el ataque o me hagáis referencia de algún sitio donde lo expliquen.

Gracias a todos

noopynoob

Se puede, pero creo hay seguridad contra este ataque, primero es que no admite tantos intentos, y si lo hace tu ip quedara grabada miles de veces que te delatara y pueden denunciarte por eso, tercero sino conoces el nombre de usuario ni lo intentes, si es demorado obtener la contraseña por fuerza bruta te imaginas lo que dura en encontrar la combinación de usuario y contraseña?

fokin

Cita de: noopynoob en 17 Febrero 2014, 20:15 PM
Se puede, pero creo hay seguridad contra este ataque, primero es que no admite tantos intentos, y si lo hace tu ip quedara grabada miles de veces que te delatara y pueden denunciarte por eso, tercero sino conoces el nombre de usuario ni lo intentes, si es demorado obtener la contraseña por fuerza bruta te imaginas lo que dura en encontrar la combinación de usuario y contraseña?
En cuanto al tiempo que se tiraría haciendo combinaciones posibles estoy de acuerdo que tardaría mucho, pero simplemente era por saber si se podría.
Señalar eso que has dicho de "y si lo hace tu ip quedara grabada miles de veces que te delatara y pueden denunciarte por eso" Todos los intento que hagas fallidos, aparecerán en el log entonces no? Aunque el nombre y contraseña sean incorrectos?

young0320

#3
A la ip de tu router, por ejemplo:

#hydra -s 8080 -l admin -P /root/words.txt -t 1 -f -v 192.168.1.1 http-get /

Aquí indicas el puerto 8080, usuario admin, el diccionario de claves, conexiones y modo verbose.

Claro que sabrán quién eres. De hecho si tienen establecido un procedimiento correcto, esos logs van a tener validez legal para llevarte ante un juez. Así que no cometas maldades.