Pengujian Kata Sandi SSH dengan Hydra di Kali Linux

Perkenalan

Salam Hydra! Oke, jadi kita tidak berbicara tentang penjahat Marvel di sini, tapi kita berbicara tentang alat yang pasti bisa melakukan kerusakan. Hydra adalah alat populer untuk meluncurkan serangan brute force pada kredensial login.

Hydra memiliki opsi untuk menyerang login pada berbagai protokol yang berbeda, tetapi dalam hal ini, Anda akan belajar tentang menguji kekuatan kata sandi SSH Anda. SSH hadir di server Linux atau Unix mana pun dan biasanya merupakan cara utama yang digunakan admin untuk mengakses dan mengelola sistem mereka. Tentu, cpanel adalah sesuatu, tetapi SSH masih ada bahkan ketika cpanel sedang digunakan.

Panduan ini memanfaatkan daftar kata untuk memberikan Hydra dengan kata sandi untuk diuji. Jika Anda belum terbiasa dengan daftar kata, periksa panduan crunch kami.

Peringatan: Hydra adalah alat untuk menyerang. Hanya menggunakannya pada sistem dan jaringan Anda sendiri kecuali jika Anda memiliki izin tertulis dari pemiliknya. Jika tidak, itu benar liar.

Sintaks dasar

Hydra dipasang secara default di Kali. Ada kedua baris perintah dan versi grafis hydra, tetapi panduan ini akan menggunakan baris perintah.

Karena, panduan ini menggunakan baris perintah, Anda harus membiasakan diri dengan sintaks Hydra. Hydra memiliki sintaks yang sangat spesifik, jadi pastikan untuk mengikuti dengan cermat.

Untuk memulai, pilih mesin di jaringan Anda untuk menguji. Mungkin yang terbaik adalah menggunakan mesin virtual atau sesuatu seperti pi raspberry. Dengan cara ini, Anda tidak mengganggu apa pun yang terjadi di jaringan Anda. Temukan alamat IP mesin itu, sehingga Anda dapat mengarahkan Hydra ke arahnya.

Setelah Anda memiliki IP mesin target Anda, buka terminal di Kali. Perintah Linux berikut sangat mendasar, dan akan menguji kata sandi SSH pengguna root.

# hydra -l root -p admin 192.168.1.105 -t 4 ssh

Oke, jadi -l Bendera mengambil satu parameter pengguna. Itu -P Bendera mengambil satu kata sandi tunggal. IP jelas merupakan IP dari mesin target. Itu -T Menentukan jumlah utas yang digunakan. Hydra menyarankan 4 untuk ssh. Bagian terakhir hanya memberi tahu Hydra bahwa itu akan menyerang SSH.

Menggunakan daftar kata

Meskipun ini bagus, tidak benar -benar praktis untuk menguji setiap kata sandi yang mungkin secara manual. Itulah mengapa Hydra mengambil daftar kata. Anda dapat menentukan daftar kata alih -alih satu kata sandi dengan menggunakan -P alih-alih -P. Daftar kata yang bagus sudah ada di /usr/share/wordlists/rockyou.txt.GZ. Cukup mendekompresnya, dan siap digunakan hydra.

# hydra -l root -p/usr/share/wordlists/rockyou.txt 192.168.1.105 -t 4 ssh

Ini akan membutuhkan file lama. Ada jutaan kata dalam daftar itu. Jika Anda ingin yang cepat diuji, putar yang pendek dengan crunch.

# Crunch 4 4 012345ABCDEF -O Dokumen/Pass.txt # hydra -l root -p dokumen/lulus.txt 192.168.1.105 -t 4 ssh 

Itu harus cukup cepat bagi Anda untuk melihatnya berjalan dan menyelesaikannya.

Hydra juga menerima daftar kata untuk pengguna dan target. Mereka dapat ditentukan dengan -L Bendera untuk pengguna, dan -M Bendera untuk IPS.

# hydra -l/usr/share/wordlists.menghibur Anda.txt -p/usr/share/wordlists/rockyou.txt -m dokumen/ip.txt -t 4 ssh

Lebih banyak bendera

Seperti alat baris perintah yang baik, Hydra memiliki banyak bendera untuk menyesuaikan cara berjalannya. Bendera ini berkisar dari lebih banyak kosmetik di alam hingga benar -benar mengubah cara berjalannya. Tentu saja, karena panduan ini hanya berfokus pada SSH, begitu juga penjelasan bendera ini.

-S

Tidak setiap server SSH berjalan di port 22. Admin pintar mengubah mereka sepanjang waktu. Jika itu server Anda, Anda akan tahu port yang perlu Anda tentukan. Jika Anda telah disewa untuk menguji server orang lain, Anda dapat menggunakan NMAP untuk menemukan port mana yang sedang berjalan.

Untuk menentukan port hydra mana yang harus diserang, gunakan -S Bendera diikuti oleh nomor port.

# hydra -s 22 -l root -p/usr/share/wordlists/rockyou.txt 192.168.1.105 -t 4 ssh

-V

Itu -V hanya mengontrol verbositas hydra. Jika Anda ingin melihat setiap tes yang dijalankan Hydra, gunakan -V. Jika Anda hanya ingin lebih banyak output tetapi tidak semuanya, gunakan -v.

# hydra -l root -p/usr/share/wordlists/rockyou.txt 192.168.1.105 -t 4 -V SSH

-e nsr

Itu -e Bendera memberi Anda lebih banyak opsi untuk diuji. Terkadang pengguna memiliki kata sandi yang sangat buruk sehingga Anda harus memperhitungkannya di luar ruang lingkup normal daftar kata Anda. Surat-surat NSR setelah -e Bendera sesuai dengan lebih banyak cara untuk menguji. N Singkatan dari "Null," yang berarti bahwa Hydra akan menguji pengguna yang tidak memiliki kata sandi. S Singkatan dari “Sama.”Hydra akan menguji kata sandi yang sama dengan nama pengguna, saat menggunakan S. R singkatan dari “Reverse.“Jika seorang pengguna berpikir bahwa mereka pintar dan membalikkan kata sandi buruk mereka, Hydra juga akan menangkapnya.

# hydra -l root -p/usr/share/wordlists/rockyou.txt 192.168.1.105 -t 4 -e NSR SSH

Menutup pikiran

Hydra adalah alat yang luar biasa untuk menguji kekuatan keamanan SSH Anda. Ini mampu menjalankan daftar besar nama pengguna, kata sandi, dan target untuk menguji apakah Anda atau pengguna menggunakan kata sandi yang berpotensi rentan. Ini juga dapat disetel menggunakan banyak bendera untuk memperhitungkan sejumlah situasi tambahan dan memberi Anda output terperinci.

Untuk penguji keamanan mana pun, memastikan kata sandi SSH aman harus menjadi prioritas utama.

Tutorial Linux Terkait:

• Daftar Alat Linux Kali Terbaik untuk Pengujian Penetrasi dan ..
• Cara Dual Boot Kali Linux dan Windows 10
• Cara menginstal kali linux di vmware
• Hal -hal yang harus diinstal pada ubuntu 20.04
• Cara memecahkan kata sandi zip di kali linux
• Pengaturan server http kali
• Mengeras Kali Linux
• Atur kata sandi root kali dan aktifkan login root
• Pemasang perangkat lunak GUI untuk Kali Linux
• Cara Memeriksa Versi Kali Linux