Fuerza Bruta contra aplicaciones Web usando Hydra


Buenas a todos! En este post de hoy os voy a mostrar cómo es posible realizar ataques de fuerza bruta contra aplicaciones web utilizando Hydra. Como habréis visto en el ultimo post de HighSec, Hydra es un programa que nos permite realiza ataques de fuerza bruta contra una gran cantidad de protocolos como FTP, SSH, etc. Pero en este caso nos vamos a centrar en dos, la autenticación mediante HTTP o mediante formularios.
Vamos por partes, primero y el más sencillo de ellos sería el realizar un ataque de fuerza bruta contra la autenticación basada en HTTP, que básicamente es cuando nos aparece una pantalla en el navegador similar a la siguiente.
fuerza_bruta_1

En este caso, es bastante sencillo poder realizar un ataque de fuerza bruta, para ello debemos abrir Hydra y configurarlo para que nuestro objetivo sea la URL  donde se encuentra la autenticación y el puerto 80 con el protocolo http-head, quedando de una forma similar a la siguiente.
fuerza_bruta_2

Luego de forma similar a como utilizaríamos Hydra con otros protocolos deberemos configurar el diccionario de los usuarios (En caso de no conocer ninguno) y el diccionario de las contraseñas, y después ir a la pestaña de “specific” para indicarle en que ruta esta la autenticación. Una vez hecho esto podemos lanzar el ataque hasta que nos saque las contraseñas de forma similar a como lo hace con cualquier otro protocolo.
fuerza_bruta_3

Una vez hemos visto como podríamos realizar un ataque de fuerza bruta contra una aplicaciones web que utilice la autenticación que brinda HTTP vamos a ver ahora como podríamos realizar una ataque de fuerza bruta contra un login normal y corriente que se encuentre dentro de una aplicación web.
En este caso lo que deberemos hacer es entrar en la aplicación a la que queramos realizar fuerza bruta, en mi caso la siguiente.
fuerza_bruta_4

Una vez tenemos identificada la web debemos de realizar un ejemplo de login y capturar la petición que se genera, podemos hacerlo por ejemplo usando el plugin de Firefox que viene instalado por defecto con Mantra llamado HTTP Live Headers, lo cual nos dará un resultado como el siguiente.
fuerza_bruta_5

Ahora ya tenemos los datos suficiente para poder realizar el ataque, concretamente necesitábamos los datos exactos que manda por post para poder repetir la petición y realizar un ataque de fuerza bruta. En este caso necesitaremos hacer uso de Hydra sin GTK es decir, sin entorno gráfico, y deberemos de poner lo siguiente:
hydra DIRECCION_IP http-form-post "RUTA_WEB:PARAMETRO_USER=^USER^&PARAMETRO_PASS=^PASS^:IDENTIFICADOR_FALSO" -L USER_DICCIONARIO -P PASS_DICIONARIO -t 10 -w 30 -o hydra-http-post-attack.txt

Todo aquello que se ve en mayúsculas es porque tendremos que modificarlo, en mi caso se me quedaría un comando como el siguiente:
hydra 192.168.0.19 http-form-post "/dvwa/login.php:username=^USER^&password=^PASS^&Login=login:Login failed" -L users.txt -P pass.txt -t 10 -w 30 -o hydra-http-post-attack.txt

De esta forma comenzaría a realizar el ataque dando como resultado el siguiente.
fuerza_bruta_6
Y hasta aquí llega el post de hoy, espero que os haya gustado!