Attacco brute force di un form con Hydra

2 luglio 2013

Hydra è il tool per eccellenza quanto si tratta di effettuare attacchi a password e brute force. È molto potente e supporta diversi protocolli, tra cui:

FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, POP3, POSTGRES, RDP, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 and v2), Subversion, Telnet, VMware-Auth, VNC eXMPP.

In questa piccola guida vedremo come utilizzare Hydra per attaccare form html e sferrare attacchi brute force e dizionario su login web.

Questo software è gratuito ed è inserito nelle principali distribuzioni Linux based dedicate al penetration test. Tra queste citiamo Backtrack 5, Kali Linux e BackBox inoltre è presente anche in vari repository di diverse distribuzioni. Ad esempio per installare Hydra su distro Debian like come Ubuntu bastano pochi comandi:

sudo apt-get update 
sudo apt-get install hydra

Su Archlinux dovremo utilizzare i repository non ufficiali e potremo installare hydra con il seguente comando:

yaourt -Sy hydra

Ora che abbiamo Hydra possiamo provare ad effettuare un attacco bruteforce ad un form HTML. Un esempio di form di login potrebbe essere il seguente:

<form name="login" action="login.php" method="post"> Username: <input type="text" name="user"> Password: <input type="password" name="password"> </form>

In questo form non vi è nessun controllo CAPTCHA quindi sarà possibile utilizzare Hydra per effettuare un attacco dizionario/brute force. L’attacco di Hydra su form html vuole in input alcuni parametri obbligatori:

  • metodo HTTP ( nel nostro caso e nella maggior parte dei casi POST);
  • l’indirizzo IP del server da attaccare;
  • url della pagina che accetta le richieste;
  • parametri del form;
  • la risposta in caso di insuccesso dell’host;
  • un file contente gli user;
  • un file contente le password;

Se vuoi aggiornamenti su Attacco brute force di un form con Hydra inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Attacco brute force di un form con Hydra

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento dei dati per attività di marketing