LabEx
AnmeldenKostenlos beitreten

Knacken eines schwachen Telnet-Passworts

HydraHydraBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Challenge schlüpfen Sie in die Rolle eines Junior-Pentester, der mit dem Knacken eines schwachen Telnet-Passworts beauftragt ist. Ein Legacy-Telnet-Server ist unter 127.0.0.1 erreichbar, und Ihre Aufgabe ist es, Hydra zu nutzen, um gültige Anmeldeinformationen aus bereitgestellten Benutzer- und Passwortlisten zu identifizieren und so die inhärenten Risiken zu demonstrieren, die mit schwachen Sicherheitspraktiken verbunden sind.

Die Challenge umfasst das Einrichten eines anfälligen Telnet-Servers mit vordefinierten Benutzern und Passwörtern, das Erstellen von Benutzer- und Passwortlisten und das anschließende Starten eines Hydra-Angriffs gegen den Telnet-Dienst. Sie müssen die von Hydra entdeckte erfolgreiche Benutzer- und Passwortkombination in einer credentials.txt-Datei dokumentieren und dabei bestimmte Formatierungs- und Ausgabekriterien einhalten.

Knacken eines schwachen Telnet-Passworts

Ein Legacy-Telnet-Server ist exponiert. Als Junior-Pentester ist es Ihre Aufgabe, Hydra zu verwenden, um gültige Anmeldeinformationen aus bereitgestellten Benutzer- und Passwortlisten zu finden, um das Risiko zu demonstrieren. Die Server-IP ist 127.0.0.1.

Aufgaben

  • Starten Sie einen Hydra-Angriff gegen den Telnet-Dienst auf 127.0.0.1 unter Verwendung von usernames.txt und passwords.txt, um einen funktionierenden Login zu finden.
  • Dokumentieren Sie die erfolgreiche Benutzer- und Passwortkombination, die von Hydra identifiziert wurde.

Anforderungen

  1. Sie müssen den Hydra-Befehl aus dem Verzeichnis ~/project ausführen.
  2. Verwenden Sie die Datei usernames.txt für Benutzernamen und die Datei passwords.txt für Passwörter.
  3. Zielen Sie auf den Telnet-Dienst, der auf 127.0.0.1 läuft.
  4. Speichern Sie die Hydra-Ausgabe in einer Datei namens hydra_output.txt im Verzeichnis ~/project.
  5. Erstellen Sie eine Datei namens credentials.txt im Verzeichnis ~/project, die die erfolgreiche Benutzer- und Passwortkombination enthält, die von Hydra gefunden wurde. Das Format sollte username:password sein.

Beispiele

Wenn Hydra erfolgreich die Anmeldeinformationen user1 und password findet, sollte die Datei credentials.txt Folgendes enthalten:

user1:password

Hinweise

  • Verwenden Sie die Flags -L und -P in Hydra, um die Benutzer- bzw. Passwortdateien anzugeben.
  • Verwenden Sie das Flag -o, um die Hydra-Ausgabe in einer Datei zu speichern.
  • Verwenden Sie grep, um den erfolgreichen Login aus der Hydra-Ausgabedatei zu extrahieren.
  • Denken Sie daran, den Telnet-Dienst mit telnet://127.0.0.1 anzugeben.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Challenge wurde ein anfälliger Telnet-Dienst, der auf 127.0.0.1 läuft, mit Hydra angegriffen, um schwache Anmeldeinformationen zu knacken. Das Setup umfasste die Installation notwendiger Pakete wie hydra, xinetd und telnetd, die Konfiguration des Telnet-Dienstes, die Erstellung von Testbenutzern mit schwachen Passwörtern und die Generierung von Benutzer- und Passwortlisten.

Die Aufgabe konzentrierte sich auf das Starten eines Hydra-Angriffs unter Verwendung der erstellten Listen gegen den Telnet-Dienst, das Speichern der Ausgabe in hydra_output.txt und die Dokumentation der erfolgreichen Benutzer- und Passwortkombination (user2:123456) in einer credentials.txt-Datei, wodurch die Anfälligkeit schwacher Passwörter in Legacy-Systemen demonstriert wurde.

Verwandt Hydra Kurse
Hydra für Anfänger

Hydra für Anfänger

CybersecurityHydra
Anfänger
Hydra Cybersicherheits-Angriffs-Labs

Hydra Cybersicherheits-Angriffs-Labs

CybersecurityHydra
Anfänger