Hacking artikler
i denne artikel lærer vi, hvordan man får kontrol over offerets PC via SSH-Port. Der er flere måder, hvorpå vi kan knække adgangskoden til SSH-porten. Lad os tage lidt tid til at lære alle dem, fordi nogle gange forskellige omstændigheder kræver en anden foranstaltning.
Indholdsfortegnelse
- Hydra
- Medusa
- h-Hydra
- Metasploit
- Patator
- Ncrack
lad os begynde adgangskoden revner!
Hydra
Hydra er en paralleliseret login-krakker, der understøtter adskillige protokoller til angreb. Det er en meget hurtig, fleksibel, og nye moduler er nemme at tilføje i angrebene. Dette værktøj gør det muligt for forskeren og sikkerhedskonsulenterne at vise, hvor let det ville være at få uautoriseret adgang til et system eksternt. Vi bruger det på følgende måde til at knække login.
hydra -L user.txt -P password.txt 192.168.0.8 ssh
hvor parameter bruges til at angive brugernavnslisten og parameter, der bruges til at angive adgangskodelisten. Når kommandoerne er udført, begynder det at anvende ordbogangrebet, og du får det rigtige brugernavn og adgangskode. Efter et par minutter knækker hydra legitimationsoplysningerne, da vi kan observere, at vi med succes havde taget brugernavnet som “shubh” og adgangskoden som “123”.
Medusa
Medusa er et hurtigt, parallelt og modulært værktøj, der tillader login gennem brute force. Dens mål er at understøtte så mange tjenester, der tillader godkendelse mulig. Nøglefunktionerne i dette værktøj er trådbaseret test, fleksibel brugerinput, modulært design og flere understøttede protokoller. Vi vil køre denne kommando for at knække denne log ind.
Kør følgende kommando.
medusa -h 192.168.0.8 -U user.txt -P password.txt -M ssh
hvor brug til at tildele offerets IP-adresse, angiver stien til brugernavnsliste, angiver stien til adgangskodelisten for at vælge angrebstilstand. Nu starter processen med ordbogangrebet. Dermed, vi opnår brugernavnet og adgangskoden til vores offer.
det er en GUI-version af Hydra; det kan bruges til både offline og online adgangskode revner. Det har alle de funktioner og fordele ved Hydra i GUI form. Lad os starte angrebet ved at åbne værktøjet. Når du har åbnet dette værktøj i målet, vil det spørge os om målet, serviceportnummeret, protokoltjenestenavnet og enhver anden specifik outputmulighed, vi ønsker i vores angreb.
når vi har afsluttet detaljerne i fanen Mål, skal vi skifte til fanen adgangskode, hvor vi skal udfylde eller gennemse brugernavnet og adgangskodelisten til brute force-angrebet. Der er nogle ekstra muligheder tilgængelige på fanen som prøv login som adgangskode, prøv tom adgangskode, og prøv omvendt login.
når vi udfylder de detaljer, der kræves til angrebet, vi er nødt til at skifte fanen for at begynde at starte angrebet på offerets server
som vi kan se, at vi knækker legitimationsoplysningerne med vores angreb.
Metasploit
det er et samarbejde mellem open source-fællesskabet og Rapid 7. Det hjælper sikkerhedsteams med at gøre mere end bare at verificere sårbarheder, administrerer Sikkerhedsvurderinger og forbedrer sikkerhedsbevidstheden.
dette modul tester SSH-logins på en række maskiner og rapporterer vellykkede logins. Hvis vi har indlæst et databaseplugin og tilsluttet en database, registrerer dette modul vellykkede logins og vært, du kan få adgang til.
men først skal du åbne kali terminal og skrive “msfconsole”.Følg derefter disse kommandoer.
use auxiliary/scanner/ssh/ssh_loginset rhosts 192.168.0.8set user_file user.txtset pass_file password.txtrun
fra det givne skærmbillede kan vi observere, at vi med succes havde taget SSH-adgangskoden og brugernavnet. Desuden tjener Metasploit en ekstra fordel ved at levere en fjernsystemkommandoskal til vores uautoriserede adgang til offerets system.
Patator
Patator er en multi-purpose brute-forcer, med et modulopbygget design og en fleksibel anvendelse. Patator blev skrevet ud af frustration fra at bruge Hydra, Medusa, Ncrack, Metasploit moduler, og nmap NSE scripts til adgangskode gætte angreb. Jeg valgte en anden tilgang til ikke at skabe endnu et brutalt tvingende værktøj og undgå at gentage de samme mangler. Patator er et multi-threaded værktøj skrevet i Python, der stræber efter at være mere pålidelig og fleksibel end hans kolleger forgængere.
det er ret nyttigt at gøre brute force angreb på flere porte som FTP, HTTP, SMB osv.
patator ssh_login host=192.168.0.8 user=FILE0 0=user.txt password=FILE1 1=password.txt
fra nedenstående skærmbillede, vi kan observere, at processen med ordbogangreb starter, og dermed, du opnår brugernavnet og adgangskoden til vores offer.
Ncrack
Ncrack er et netværksgodkendelsesværktøj, som hjælper pen-testeren med at finde ud af, hvordan de legitimationsoplysninger, der beskytter netværksadgang, er sårbare. Dette værktøj er en del af Kali Linuks arsenal og leveres forudinstalleret med sin pakke. Det har også en unik funktion til at angribe flere mål på en gang, hvilket ikke ses meget ofte i disse værktøjer. Kør følgende kommando for at udnytte port 22 via Ncrack.
ncrack -U user.txt -P password.txt 192.168.0.8:22
Hvor hjælper os med at tildele brugernavnsliste, hjælper os med at tildele adgangskodelisten og hjælper os med at tildele offerets serviceportnummer. Vi kan se, at vi med succes har knækket SSH-legitimationen.
forfatter: Shubham Sharma er en Pentester, cybersikkerhed forsker, kontakt Linkedin og kvidre.