HYDRA

Hydra es una aplicación para poder realizar pruebas y ataque de fuerza bruta para conseguir acceder de forma no autorizada a redes y sistemas. Cuenta con más de 30 protocolos compatibles.

A continuación se muestra algunos parámetros con los que ejecutar Hydra:

-l: Se indica la información de login de un único usuario.

-L: Se indica la información de login de un fichero de texto para varios usuarios.

-p: Se indica la información de password de una sola contraseña.

-P: Se indica la información de password de un fichero de texto con varias contraseñas.

-C: Se indica la información de login y password de un fichero de texto con varios usuarios y contraseñas separados por " : ".

-t: Número de conexiones en pararelo. Por defecto esta en 16.

-f: Especificamos que cuando se obtenga unas credenciales válidas se detenga el ataque de fuerza bruta.

-v y -V: Distintos tipos de "verbose" para mostrar más información.

A continuación mostraremos ejemplos de uso de Hydra.

Podemos descargarnos antes el repositorio SecList que viene una gran variedad de diccionarios de nombre de usuarios y contraseñas.

• FTP

• POSTGRES

 

 

• FTP

Para realizar la prueba de fuerza bruta contra FTP utiliceremos el siguiente listado para proporcionar a Hydra nombre de usuarios y contraseñas:

Ejecutamos ahora Hydra indicando el listado anterior, especificando el host objetivo e indicamos que es el servicio ftp:

Si cambiamos el parámetro -V por -v solo veremos las credenciales válidas encontradas:

Vemos que las credenciales encontradas con user/user y ftp/root.

• POSTGRES

Para realizar las pruebas de fuerza bruta contra Postgres usaremos dicho listado donde los nombre de usuarios y contraseñas separados por " : " :

Ejecutamos Hydra, usamos el parámetro -C e indicamos que el servicio es postgres:

Se han encontrado las credenciales postgres/postgres.