elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Falsos positivos en hydra
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Falsos positivos en hydra  (Leído 16,799 veces)
hacelo

Desconectado Desconectado

Mensajes: 130



Ver Perfil
Falsos positivos en hydra
« en: 31 Diciembre 2012, 17:05 pm »

Hola, estoy realizando unas pruebas con Hydra contra un router pero siempre me arroja el mismo user y pass como encontrados, es decir el primero de la lista ya que utilizo el comando -t 1 .
Una vez que llega a este punto, detiene el ataque porque supuestamente interpreta que ya ha encontrado la pass.

Tambien he probado con la interface grafica de hydra, pero los resultados han sido los mismos. Mi pregunta es si ¿sabeis que estoy haciendo mal  para evitar estos falsos positivos o puede ser que el router se defienda?
Por si sirve de algo posteo la linea de comando que utilizo:
Código:
hydra 192.168.1.1 -l admin -P mi_diccionario -t 1 -e ns -f -V http-get

Gracias de antemano y un saludo.
En línea

ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #1 en: 31 Diciembre 2012, 20:56 pm »

 muy simple, tienes idea del status que devuelve el servidor??, sabías que el ataque de fuerza bruta se basa en las respuestas del servidor, tanto status como mensaje de error u otro mensaje??, y que no existen respuestas genéricas??.

resumiendo, antes de realizar un ataque de fuerza bruta, se debe analizar el tráfico que se genera, si luego unos intentos te aparece un capcha, o si te banea, etc....

la fuerza bruta de por si es tediosa imagínate realizar fuerza bruta y a lo loco.

saludines!.
En línea

firma retirada por insultar/cachondearse de (anelkaos) del staff.
hacelo

Desconectado Desconectado

Mensajes: 130



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #2 en: 1 Enero 2013, 22:43 pm »

Hola ameise_1987, ante todo gracias por responder.
Llevo algun tiempo estudiando tutoriales de estos que andan por la red sobre Hydra y hasta ahora no he encontrado nada de lo que tu has comentado que segun parece es la clave para llevar acabo este ataque.
He llegado incluso a leer en alguno de estos tutos., que el manejo de Hydra era muy sencillo, cosa que a mi no me lo parece. je je...

Sabrias decirme, si no es mucha molestia, donde puedo encontrar algo de informacion referente a este asunto o quizas, podrias ampliar un poquito mas tu explicacion ???  por que yo he probado con  varios de los diferentes comandos de Hydra obteniendo siempre el mismo resultado.


Saludos y muchas gracias
En línea

pierpiter

Desconectado Desconectado

Mensajes: 6



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #3 en: 5 Enero 2013, 07:59 am »

Con esto te debería funcionar:

Código:
hydra -vV -l admin -P /path_del_dicc 192.168.1.1 http-get

De todas formas, deberías analizar un poco más la comunicación para ver lo que comenta ameise.

Respecto al resto de las opciones, en la consola ejecutá:

Código:
hydra -h
ó
man hydra

Con eso tenés una idea y después podes profundizar más sobre cada parámetro y su funcionamiento.

 :)
En línea

hacelo

Desconectado Desconectado

Mensajes: 130



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #4 en: 5 Enero 2013, 22:49 pm »

Gracias pierpiter.
Haciendo caso de vuestros consejos ya he empezado a escanear y a comparar las diferentes respuestas que ofrece el router cuando me conecto manualmente a traves del navegador o cuando me conecto a traves de hydra, y la verdad es que los resultados son algo diferentes.
Lo que si creo tener claro es que no me aparece un capcha pero, cuando lo intento a traves de telnet al cuarto intento fallido se desconecta el host.
Ahora es lo que trato de analizar y de estudiar para ver si llego a obtener alguna conclusion.

Con esto te debería funcionar:

Código:
hydra -vV -l admin -P /path_del_dicc 192.168.1.1 http-get


Esta opcion tampoco me ha funcionado pero se admiten todo tipo de sugerencias.  :¬¬
Saludos y gracias por responder.



 
« Última modificación: 5 Enero 2013, 22:57 pm por Hacelo » En línea

ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #5 en: 6 Enero 2013, 03:32 am »

Web-based login forms prerequisites

You need to know:

    The hostname/IP and URL
    Whether it is a HTTPS or HTTP service
    Whether the form supports GET or POST (or both)
    The parameters of the request
    The difference in response between success and failure
    Whether any session cookies are required to be set or maintained
    What lockout features and thresholds are enabled (if any)

Not knowing or understanding the above information can be a big cause of failure.

HTTP form based auth:
http://insidetrust.blogspot.com/2011/08/using-hydra-to-dictionary-attack-web.html

video:
http://www.sillychicken.co.nz/2011/05/how-to-brute-force-http-forms-in-windows/
« Última modificación: 6 Enero 2013, 03:35 am por ameise_1987 » En línea

firma retirada por insultar/cachondearse de (anelkaos) del staff.
hacelo

Desconectado Desconectado

Mensajes: 130



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #6 en: 6 Enero 2013, 21:54 pm »

Gracias ameise_1987.

Esta info que has dejado esta muy bien, es mucho mas avanzada de la que yo habia encontrado.
Ahora ya, con los conceptos un poquito mas claros, voy a intentar configurar Hydra para que funcione correctamente.



   Not knowing or understanding the above information can be a big cause of failure.

Que razón tienen.... :)

Saludos y gracias por compartir.
En línea

BTshell

Desconectado Desconectado

Mensajes: 23


Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #7 en: 9 Enero 2013, 15:29 pm »

prueba con medusa:

Hola a todos, en este caso os voy a mostrar cómo utilizar medusa, hace la misma función que hydra, pero como el conocimiento es libre, también merece la pena saber que esta herramienta está ahí y que se puede usar para los ataques de brute forcé. (Aunque particularmente prefiero hydra).

Bien, lo primero será abrir un terminal en el que escribiremos el siguiente código pero modificando las zonas en rojo por los datos que tengamos:

medusa -h nº_ip_host_a_atacar -U diccionario_usuarios.txt –P dicc_password.txt -O nombre_del_archivo_donde_guardara_las_password.txt -M ftp

Quedaría algo así como en la imagen de abajo:



Si nos fijamos en la imagen yo ya he modificado los datos de las zonas rojas por los míos propios y no se os olvide poner bien la ruta donde tengáis vuestros diccionarios.

Bien, ahora le damos a enter y medusa comenzara el ataque de fuerza bruta como podemos ver en la siguiente imagen, ya lo único que carbría sería esperar a tener suerte con nuestros diccionarios.



Si nos fijamos, medusa ya está trabajando en la búsqueda del usuario y la pass, en este caso por vía ftp como podemos apreciar en la imagen de arriba.

A continuación os dejo una lista con los comandos de medusa:
-u sirve para usar un nombre de usuario concreto
-U sirve para usar un diccionarios conlos nombres de usuarios.
-P sirve para usar el diccionario donde tenemos las posibles password.
-h Sirve para indicar un host concreto a atacar.
-H Sirve para indicar un fichero de host.
-F Parará la ejecución tras encontrar una password.
-O Fichero donde se guardara las password encontradas.
-M Sirve para especificar el módulo a utilizar. HTTP, TELNET, IMAP,FTP,…

Como siempre os dejo el enlace para que el que quiera se descargue el tutorial en pdf:  http://www.mediafire.com/view/?nygmdjme7n5j6x9

Aquí os dejo un video de como crear nuestros propios diccionarios:

[youtube]http://www.youtube.com/watch?v=Dfi1aQJZK6g[/youtube]

Aqui os dejo el enlace de descarga del archivo para crear diccionarios:  http://www.mediafire.com/?015avj3z6xt4f61

Pues bien (Eso es todo) Duda o sugerencia aquí en el foro.
En línea

ameise_1987

Desconectado Desconectado

Mensajes: 119



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #8 en: 9 Enero 2013, 17:09 pm »

HYDRA VS MEDUSA VS NCRACK

http://www.thc.org/thc-hydra/network_password_cracker_comparison.html

saluos.
En línea

firma retirada por insultar/cachondearse de (anelkaos) del staff.
hacelo

Desconectado Desconectado

Mensajes: 130



Ver Perfil
Re: Falsos positivos en hydra
« Respuesta #9 en: 11 Enero 2013, 23:33 pm »

Hola, he estado tratando de ver el codigo de la pagina que arroja el router, y asi poder acceder a los campos de user y pass para poder configurar Hydra pero, no se  porque, no me deja abrirla.
¿Me podrias orientar de como hacerlo o si en este caso en particular no es posible acceder al codigo?. Yo por mucho que lo intento no doy con la solucion ya que no vale con la opcion "ver codigo fuente".

Aqui dejo la imagen de la web en cuestion por si sirve de ayuda.        

http://imageshack.us/a/img441/5673/dlink.png

Saludos y muchas gracias.
« Última modificación: 15 Enero 2013, 23:12 pm por Hacelo » En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Kaspersky quiere acabar con los falsos positivos
Noticias
wolfbcn 3 2,004 Último mensaje 26 Junio 2012, 21:03 pm
por 0xDani
hydra escupe demasiados positivos en login de face
Hacking
NIKOLAY7 1 2,367 Último mensaje 7 Enero 2013, 05:34 am
por ameise_1987
[Hydra] Falsos Positivos
Hacking
karrax 2 2,969 Último mensaje 12 Junio 2016, 15:02 pm
por karrax
Falsos positivos en fuerza bruta
Dudas Generales
Usuarioalfaomega 1 1,496 Último mensaje 13 Octubre 2018, 17:03 pm
por SSJirall
Has puesto en práctica técnicas de control mental con resultados positivos?
Foro Libre
@XSStringManolo 9 2,250 Último mensaje 10 Julio 2019, 00:21 am
por FreeCellnet
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines