LabEx
LoginBeitreten

Knacken eines schwachen Telnet-Passworts

HydraBeginner
Jetzt üben

Einführung

In dieser Herausforderung schlüpfen Sie in die Rolle eines Junior-Pentesters mit der Aufgabe, ein schwaches Telnet-Passwort zu knacken. Ein veralteter Telnet-Server ist unter der Adresse 127.0.0.1 erreichbar. Ihre Mission besteht darin, mithilfe von Hydra gültige Zugangsdaten aus vorgegebenen Benutzer- und Passwortlisten zu identifizieren, um die inhärenten Risiken schwacher Sicherheitsvorkehrungen aufzuzeigen.

Die Herausforderung umfasst die Konfiguration eines anfälligen Telnet-Servers mit vordefinierten Benutzern und Passwörtern, das Erstellen von Listen für Benutzernamen und Passwörter sowie den anschließenden Start eines Hydra-Angriffs gegen den Telnet-Dienst. Sie müssen die von Hydra entdeckten erfolgreichen Kombinationen aus Benutzername und Passwort in einer Datei namens credentials.txt dokumentieren und dabei spezifische Formatierungs- und Ausgabevorgaben einhalten.

Knacken eines schwachen Telnet-Passworts

Ein veralteter Telnet-Server ist im Netzwerk erreichbar. Als Junior-Pentester ist es Ihre Aufgabe, Hydra einzusetzen, um gültige Zugangsdaten aus den bereitgestellten Listen zu finden und so das Sicherheitsrisiko zu demonstrieren. Die IP-Adresse des Servers lautet 127.0.0.1.

Aufgaben

  • Starten Sie einen Hydra-Angriff gegen den Telnet-Dienst auf 127.0.0.1 unter Verwendung von usernames.txt und passwords.txt, um einen funktionierenden Login zu finden.
  • Dokumentieren Sie die von Hydra identifizierten erfolgreichen Kombinationen aus Benutzername und Passwort.

Anforderungen

  1. Sie müssen den Hydra-Befehl aus dem Verzeichnis ~/project heraus ausführen.
  2. Verwenden Sie die Datei usernames.txt für die Benutzernamen und die Datei passwords.txt für die Passwörter.
  3. Das Ziel ist der Telnet-Dienst, der auf 127.0.0.1 läuft.
  4. Speichern Sie die Hydra-Ausgabe in einer Datei namens hydra_output.txt im Verzeichnis ~/project.
  5. Erstellen Sie im Verzeichnis ~/project eine Datei namens credentials.txt, welche die von Hydra gefundenen erfolgreichen Zugangsdaten enthält. Das Format muss username:password entsprechen.

Beispiele

Falls Hydra erfolgreich die Zugangsdaten user1 und password findet, sollte die Datei credentials.txt folgenden Inhalt haben:

user1:password

Hinweise

  • Verwenden Sie die Flags -L und -P in Hydra, um die Dateien für Benutzernamen bzw. Passwörter anzugeben.
  • Nutzen Sie das Flag -o, um die Hydra-Ausgabe in einer Datei zu speichern.
  • Verwenden Sie grep, um die erfolgreichen Logins aus der Hydra-Ausgabedatei zu extrahieren.
  • Denken Sie daran, den Telnet-Dienst über telnet://127.0.0.1 zu adressieren.

Zusammenfassung

In dieser Herausforderung wurde ein anfälliger Telnet-Dienst unter 127.0.0.1 mit Hydra angegriffen, um schwache Zugangsdaten zu knacken. Der Aufbau umfasste die Installation notwendiger Pakete wie hydra, xinetd und telnetd, die Konfiguration des Telnet-Dienstes, das Anlegen von Testbenutzern mit unsicheren Passwörtern sowie das Erstellen von Listen für Benutzernamen und Passwörter.

Der Schwerpunkt der Aufgabe lag darauf, einen Hydra-Angriff mit den erstellten Listen gegen den Telnet-Dienst durchzuführen, die Ergebnisse in hydra_output.txt zu sichern und die erfolgreichen Kombinationen (wie user2:123456) in einer credentials.txt-Datei zu dokumentieren. Dies verdeutlichte eindrucksvoll die Sicherheitsrisiken schwacher Passwörter in veralteten Systemen.

✨ Lösung prüfen und üben
Verwandt Hydra Kurse
Hydra für Anfänger

Hydra für Anfänger

cybersecurityhydrakali
Hydra Cybersicherheits-Angriffs-Labs

Hydra Cybersicherheits-Angriffs-Labs

cybersecurityhydrakali