LabEx
AnmeldenKostenlos beitreten

Schwaches SSH-Passwort des Agenten knacken

HydraHydraBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Challenge schlüpfen Sie in die Rolle eines Sicherheitsexperten, der damit beauftragt ist, ein kompromittiertes SSH-Passwort für einen Geheimagenten wiederherzustellen. Das Ziel ist es, Hydra, ein leistungsstarkes Tool zum Knacken von Passwörtern, zu verwenden, um das schwache Passwort zu identifizieren, das das Konto des Agenten schützt.

Die Challenge beinhaltet das Einrichten einer lokalen Umgebung mit einem Benutzer namens 'agent' und einer vordefinierten Liste gängiger Passwörter. Sie werden dann Hydra nutzen, um den lokalen SSH-Server unter 127.0.0.1 anzugreifen, wobei Sie den Benutzernamen 'agent', die Passwortliste agent_passwords.txt im Verzeichnis ~/project und 8 Threads verwenden, um den Knackprozess zu beschleunigen. Für einen erfolgreichen Abschluss ist die Ausführung des korrekten Hydra-Befehls und die Überprüfung erforderlich, dass er das Passwort "weakpassword" identifiziert.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) hydra/HydraGroup -.-> hydra/single_username("Single Username Attack") hydra/HydraGroup -.-> hydra/ssh_attack("SSH Brute Force") hydra/HydraGroup -.-> hydra/verbose_mode("Verbose Mode Usage") subgraph Lab Skills hydra/single_username -.-> lab-550753{{"Schwaches SSH-Passwort des Agenten knacken"}} hydra/ssh_attack -.-> lab-550753{{"Schwaches SSH-Passwort des Agenten knacken"}} hydra/verbose_mode -.-> lab-550753{{"Schwaches SSH-Passwort des Agenten knacken"}} end

Knacken des schwachen SSH-Passworts des Agenten

Das SSH-Passwort eines Geheimagenten wurde kompromittiert und muss schnell wiederhergestellt werden. Ihre Mission ist es, Hydra zu verwenden, um das Passwort zu knacken und den sicheren Zugriff wiederherzustellen.

Aufgaben

  • Verwenden Sie Hydra, um das SSH-Passwort für den Benutzer agent auf dem lokalen Rechner 127.0.0.1 mithilfe der Passwortliste agent_passwords.txt zu knacken.

Anforderungen

  1. Sie müssen Hydra verwenden, um das Passwort-Cracking durchzuführen.
  2. Sie müssen den lokalen SSH-Server unter 127.0.0.1 angreifen.
  3. Sie müssen den Benutzernamen agent verwenden.
  4. Sie müssen die Passwortlistendatei agent_passwords.txt verwenden, die sich im Verzeichnis ~/project befindet.
  5. Sie müssen 8 Threads (-t 8) verwenden.
  6. Sie müssen den Befehl aus dem Verzeichnis ~/project ausführen.
  7. Sie müssen die Ergebnisse in ~/project/hydra_results.txt speichern.
  8. Sie müssen die Option -o verwenden, um die Ausgabe zu speichern.

Beispiele

So zeigen Sie die Ergebnisse nach der Ausführung von Hydra an:

cat hydra_results.txt

Beispiel für das Ausgabeformat:

[ssh] <ip>:22 - login: <username> password: <found_password>

Hinweise

  • Denken Sie daran, die Ziel-IP-Adresse und den SSH-Dienst anzugeben.
  • Verwenden Sie die Option -l für den Benutzernamen und die Option -P für die Passwortliste.
  • Die Option -t steuert die Anzahl der Threads.
  • Die Optionen -vV liefern eine ausführliche Ausgabe (verbose output).
  • Verwenden Sie die Option -o, um die Ergebnisse in einer Datei zu speichern.
  • Stellen Sie sicher, dass Sie die Ergebnisse in ~/project/hydra_results.txt speichern.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Challenge ist es das Ziel, ein schwaches SSH-Passwort für den Benutzer 'agent' auf dem lokalen Rechner mit Hydra zu knacken. Das Setup umfasst das Erstellen des Benutzers 'agent' mit dem Passwort "weakpassword", das Generieren einer Passwortlistendatei namens agent_passwords.txt, die gängige schwache Passwörter enthält, und das Sicherstellen, dass der SSH-Dienst ausgeführt wird.

Die Aufgabe erfordert die Verwendung von Hydra mit spezifischen Parametern: Ausrichtung auf den lokalen SSH-Server unter 127.0.0.1, Verwendung des Benutzernamens 'agent', Angabe der Passwortlistendatei agent_passwords.txt und Verwendung von 8 Threads. Die erfolgreiche Ausführung von Hydra sollte das korrekte Passwort "weakpassword" für den Benutzer 'agent' aufdecken, was durch Überprüfen der Hydra-Ausgabe auf die Zeichenkette "login: agent password: weakpassword" verifiziert werden kann.