Foro de elhacker.net

Seguridad Informática => Hacking Ético => Mensaje iniciado por: Tservidor en 2 Junio 2016, 18:26



Título: duda sobre Herramienta de fuerza bruta
Publicado por: Tservidor en 2 Junio 2016, 18:26
Tengo una duda , para hacer fuerza bruta se necesita un diccionario y el ataque se basa en ir probando las palabras que hay en ese diccionario , pero ¿se podria hacer que probase todas las combinaciones posibles hasta dar con la clave correcta? es decir sin necesidad de un diccionario , que lo pruebe todo no solo lo del diccionario

Gracias amigos


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: engel lex en 2 Junio 2016, 18:46
se usa diccionario para resumir las probabilidades... si se puede intentar todo pero en tiempo es inutil

explico

imagina una contraseña de 6 dígitos mayúsculas, minúsculas y números,  esto son 62 cifras, par redondear 64 (26) esto a la vez debe ser 6 veces asi que es 646 (266 = 26*6 = 236) que se traduce en 68.719.476.736 posibilidades

supongamos que tienes un sistema hiper eficiente capaz de probar 100.000 de posibilidades por segundo, aun estarías 687.194 segundos intentando, unos 8 dias

pero se años realistas, con un muy buen sistema capaz llegues a 20k pasa/seg que es 1/5 de ese calculo... y eso sin agregarle el 7mo digito, eso sería agarrar el tiempo que ya tienes y multiplicarlo por 64 (8 dias ahora serian unos 512+8) y así en mas...

por esas razones fuerza bruta normalmente ni si quiera es tomado en cuenta


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: Tservidor en 2 Junio 2016, 19:14
Aja , gracias por estos datos , es que estoy viendo Mr Robot y Elliot utiliza fuerza bruta pero tiene un script que va buscando la contraseña , no utiliza un diccionario con unas palabras ya puestas con antelación , por eso preguntaba si habia algo parecido , Gracias!


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: engel lex en 2 Junio 2016, 19:27
en hecho si usa un diccionario (el que hace con los datos que averigua de la persona), solo que no usa programas standard, sino scripts propios


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: Tservidor en 2 Junio 2016, 19:29
Aja , pues eso lo he intentado yo , he cogido fechas de nacimiento , nombres de mascotas , de todo de la persona a la que quiero atacar , y nada , y tampoco estoy utilizando un programa clasico estoy usando un script modificado , pero ya veo que la fuerza bruta no vale para mucho


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: el-brujo en 2 Junio 2016, 20:22
Citar
estoy viendo Mr Robot y Elliot utiliza fuerza bruta [..]

jaja justo ahora estaba viendo esto:

vR1ktfzlsug

Los ataques por fuerza bruta a servicios web hoy en día prácticamente no tienen sentido, porque están implementados mecanismos de defensa, como Fail2Ban o sistemas de Captcha (imagen de verificación) para verificar que las peticiones son humanas y no automáticas o de robots.

http://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html

Ni hotmail, ni gmail, ni el propio foro xD te van a dejar probar más de 10 combinaciones sin bloquearte temporalmente el acceso por intentos fallidos....

Sin embargo los ataques por fuerza bruta a contraseñas (hashes) si son muy utilizados con diccionarios y variaciones o con ataques con tablas predefinidas con un algoritmo, como las tablas "Rainbow". Ya que aquí puedes hacer todos los intentos o combinaciones que quieras, ya que es suele ser en local, y no hay ninguna restricción, tan sólo la potencia de tu CPU, bueno más bien dicho de tu GPU que es la que realmente es capaz de hacer más combinaciones en menos tiempo.


http://blog.elhacker.net/search/label/cuda

Medusa: herramienta para realizar ataques por fuerza bruta
http://blog.elhacker.net/2015/06/medusa-herramienta-para-realizar.html


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: Tservidor en 2 Junio 2016, 20:30
Muy bueno el documental , lo vi antes de empezar con la serie , aja , y como consigo el hash de una cuenta en facebook (por ejemplo) para posteriormente realizar el ataque ,si es que te he entendido bien....

Gracias


Título: Re: duda sobre Herramienta de fuerza bruta
Publicado por: el-brujo en 2 Junio 2016, 20:52
Si sigues en esta línea de preguntar lo primero que se te pase por la cabeza sin antes investigar o leer documentación acabarás baneado del foro.

Lee cómo hacer preguntas inteligentes y temas similares, por dónde empezar, etc.

Para conseguir el hash de la cuenta de facebook primero tendrías que obtener la  base de datos de Facebook con sus respectivos salts, cosa que se me antoja un tanto complicada, por no decir imposible.