LUK
09-03-2011, 14:28
Hace unos días escribía una pequeña entrada sobre los scripts de Nmap (http://foro.hackhispano.com/showthread.php?t=37710) para hacer ataques por diccionario. Si bien es cierto que están muy muy bien, hay una pequeña carencia básica: nos falta SSH (http://es.wikipedia.org/wiki/Secure_Shell) entre la lista de servicios incluidos para atacar por diccionario. Si no podemos con Nmap (http://nmap.org/), podemos tirar de otra solución esencial en la caja de herramientas de un pentester: Metasploit (http://www.metasploit.com/).
La versión 3.4 (http://www.metasploit.com/redmine/projects/framework/wiki/Release_Notes_34), presentada en Mayo 2010 (http://blog.metasploit.com/2010/05/metasploit-framework-340-released.html), ya tenía un conjunto estable de scripts para esta tarea, incluyendo SSH. Usarlo es sencillo, con unos pocos comandos en msfconsole es suficiente:
Ver la lista de scripts para atacar la autenticación de servicios. Podemos ver el script ssh_login entre la lista de los módulos auxiliares: search login
Lo seleccionamos: use auxiliary/scanner/ssh/ssh_login
Indicamos la máquina a atacar: set RHOSTS
Ahora tenemos que dar la lista de usuarios y contraseñas a utilizar para la prueba. Tenemos muchas posibilidades, que podemos listar con el comando show options, por ejemplo dar un listado de nombres de usuario y contraseñas en un fichero, con el formato [USUARIO espacio PASSWORD] en cada línea. Una prueba sencilla es elegir un nombre de usuario y un fichero con un listado de passwords posibles.
Indicamos el nombre de usuarios que queremos atacar: set USERNAME [NOMBRE]
Indicamos el fichero de passwords a utilizar: set PASS_FILE [RUTA_FICHERO]
Si no queremos ser molestados con cada intento de autenticación fallido, indicamos que no los imprima en la consola: set VERBOSE false . Al menos para probar, deberíamos ver qué está haciendo el script...por lo que yo no lo pondría.
¡Atacamos!: run
Cuando tengamos éxito, veremos un mensaje de confirmación con la palabra "success" en la consola ;) .
Para ver las sesiones que tenemos activas: sessions -l
Para entrar en una: sessions -i [NUM_SESION]
http://4.bp.blogspot.com/-Ve6BsbHvuu0/TXaRm-FsJqI/AAAAAAAAADY/dP_VbEeEiW0/s320/Pantallazo-des%2540des_%2B-opt-metasploit3-msf3.jpg (http://4.bp.blogspot.com/-Ve6BsbHvuu0/TXaRm-FsJqI/AAAAAAAAADY/dP_VbEeEiW0/s1600/Pantallazo-des%2540des_%2B-opt-metasploit3-msf3.jpg)[I]¡Éxito!
Fácil, ¿no?.
Existen muchísimas herramientas para algo tan sencillo como un ataque por fuerza bruta o diccionario contra un servicio en red. Algunos ejemplos son la veterana y recientemente reactivada Hydra (http://www.thc.org/thc-hydra/), la increíble Medusa (http://www.foofus.net/~jmk/medusa/medusa.html), ncrack (http://nmap.org/ncrack/) (otra solución de la suite nmap para el tema de la fuerza bruta), Nix (http://myproxylists.com/nix-brute-force), o las que tienes en kits de pentesting como Inguma (http://code.google.com/p/inguma/wiki/BruteModules). Pero no nos hace falta complicarnos la vida buscando, las utilidades más esenciales son suficientes ;) . Otro tema, por cierto, es de dónde sacar diccionarios para probar, podemos hacerlo por ejemplo de los recursos que nos ofrece DragonJar (http://www.dragonjar.org/tag/fuerza-bruta). ¿Qué usas tú?.
Slds!
Publicado por des en http://informaticoysegurata.blogspot.com/2011/03/bruteforceando-con-metasploit.html
La versión 3.4 (http://www.metasploit.com/redmine/projects/framework/wiki/Release_Notes_34), presentada en Mayo 2010 (http://blog.metasploit.com/2010/05/metasploit-framework-340-released.html), ya tenía un conjunto estable de scripts para esta tarea, incluyendo SSH. Usarlo es sencillo, con unos pocos comandos en msfconsole es suficiente:
Ver la lista de scripts para atacar la autenticación de servicios. Podemos ver el script ssh_login entre la lista de los módulos auxiliares: search login
Lo seleccionamos: use auxiliary/scanner/ssh/ssh_login
Indicamos la máquina a atacar: set RHOSTS
Ahora tenemos que dar la lista de usuarios y contraseñas a utilizar para la prueba. Tenemos muchas posibilidades, que podemos listar con el comando show options, por ejemplo dar un listado de nombres de usuario y contraseñas en un fichero, con el formato [USUARIO espacio PASSWORD] en cada línea. Una prueba sencilla es elegir un nombre de usuario y un fichero con un listado de passwords posibles.
Indicamos el nombre de usuarios que queremos atacar: set USERNAME [NOMBRE]
Indicamos el fichero de passwords a utilizar: set PASS_FILE [RUTA_FICHERO]
Si no queremos ser molestados con cada intento de autenticación fallido, indicamos que no los imprima en la consola: set VERBOSE false . Al menos para probar, deberíamos ver qué está haciendo el script...por lo que yo no lo pondría.
¡Atacamos!: run
Cuando tengamos éxito, veremos un mensaje de confirmación con la palabra "success" en la consola ;) .
Para ver las sesiones que tenemos activas: sessions -l
Para entrar en una: sessions -i [NUM_SESION]
http://4.bp.blogspot.com/-Ve6BsbHvuu0/TXaRm-FsJqI/AAAAAAAAADY/dP_VbEeEiW0/s320/Pantallazo-des%2540des_%2B-opt-metasploit3-msf3.jpg (http://4.bp.blogspot.com/-Ve6BsbHvuu0/TXaRm-FsJqI/AAAAAAAAADY/dP_VbEeEiW0/s1600/Pantallazo-des%2540des_%2B-opt-metasploit3-msf3.jpg)[I]¡Éxito!
Fácil, ¿no?.
Existen muchísimas herramientas para algo tan sencillo como un ataque por fuerza bruta o diccionario contra un servicio en red. Algunos ejemplos son la veterana y recientemente reactivada Hydra (http://www.thc.org/thc-hydra/), la increíble Medusa (http://www.foofus.net/~jmk/medusa/medusa.html), ncrack (http://nmap.org/ncrack/) (otra solución de la suite nmap para el tema de la fuerza bruta), Nix (http://myproxylists.com/nix-brute-force), o las que tienes en kits de pentesting como Inguma (http://code.google.com/p/inguma/wiki/BruteModules). Pero no nos hace falta complicarnos la vida buscando, las utilidades más esenciales son suficientes ;) . Otro tema, por cierto, es de dónde sacar diccionarios para probar, podemos hacerlo por ejemplo de los recursos que nos ofrece DragonJar (http://www.dragonjar.org/tag/fuerza-bruta). ¿Qué usas tú?.
Slds!
Publicado por des en http://informaticoysegurata.blogspot.com/2011/03/bruteforceando-con-metasploit.html