LabEx
AnmeldenKostenlos beitreten

Knacken des versteckten Dienstes

HydraHydraBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In dieser Aufgabe werden Sie Hydra verwenden, um die Anmeldedaten eines versteckten Dienstes zu knacken, der auf einem Remote-Server läuft. Der Dienst ist durch HTTP-Basisauthentifizierung (HTTP Basic Authentication) geschützt. Ihr Ziel ist es, sowohl den Benutzernamen als auch das Passwort aufzudecken, um auf die versteckten Daten zuzugreifen.

Um dies zu erreichen, richten Sie zunächst die Umgebung ein, indem Sie die erforderlichen Verzeichnisse und Wortlisten (wordlists) mit potenziellen Benutzernamen und Passwörtern erstellen. Anschließend erstellen Sie mit Python einen einfachen HTTP-Server mit Basisauthentifizierung. Schließlich nutzen Sie Hydra, um die Anmeldedaten mithilfe der erstellten Wortlisten per Brute-Force (Brute-Force) zu ermitteln und Zugriff auf die geheimen Daten zu erhalten.

Knacken des versteckten Dienstes

Ein geheimer Dienst läuft auf einem Remote-Server und ist durch HTTP-Basisauthentifizierung (HTTP Basic Authentication) geschützt. Können Sie mit Hydra den korrekten Benutzernamen und das Passwort ermitteln, um auf die versteckten Daten zuzugreifen?

Aufgaben

  • Verwenden Sie Hydra, um den HTTP-Dienst auf localhost Port 8000 mit den bereitgestellten Benutzer- und Passwortlisten per Brute-Force (Brute-Force) anzugreifen.
  • Identifizieren Sie die korrekten Anmeldedaten aus der Ausgabe von Hydra und speichern Sie das Passwort in der Datei found_password.txt.

Anforderungen

  1. Sie müssen den Befehl hydra im Verzeichnis /home/labex/project/wordlists ausführen.
  2. Verwenden Sie die Benutzerliste usernames.txt und die Passwortliste passwords.txt.
  3. Greifen Sie auf den HTTP-Dienst zu, der auf localhost am Port 8000 läuft.
  4. Verwenden Sie das Modul http-get / in Hydra, um den Angriff durchzuführen.
  5. Speichern Sie das korrekte Passwort in der Datei found_password.txt unter /home/labex/project/found_password.txt.

Beispiele

Erfolgreiche Hydra-Ausgabe:

[DATA] attacking http-get://localhost:8000/
[8000][http-get] host: localhost   login: [USERNAME]   password: [PASSWORD]
1 of 1 target successfully completed, 1 valid password found

Ersetzen Sie [USERNAME] und [PASSWORD] durch die tatsächlichen Anmeldedaten, die von Hydra gefunden wurden.

Hinweise

  • Denken Sie daran, die korrekte Portnummer mit dem Flag -s anzugeben.
  • Das korrekte Passwort befindet sich nicht in der Datei passwords.txt. Sie müssen einen anderen Weg finden, um das Passwort zu knacken.
  • Erwägen Sie, Ihre eigene Passwortliste mit gängigen Passwörtern zu erstellen.
✨ Lösung prüfen und üben

Zusammenfassung

In dieser Aufgabe war es das Ziel, die HTTP-Basisauthentifizierung (HTTP Basic Authentication) zu knacken, die einen versteckten Dienst schützt, der auf einem Remote-Server läuft. Mit Hydra haben Sie sowohl den Benutzernamen als auch das Passwort ermittelt, die für den Zugriff auf den Dienst erforderlich sind.

Die Aufgabe umfasste die Einrichtung einer simulierten Umgebung, einschließlich der Erstellung von Verzeichnissen für Wortlisten (wordlists) und den HTTP-Server, die Generierung von Benutzer- und Passwortlisten sowie die Erstellung eines Python-basierten HTTP-Servers, der eine Authentifizierung erfordert. Hydra wurde dann verwendet, um die Anmeldedaten mithilfe der erstellten Wortlisten per Brute-Force (Brute-Force) gegen den laufenden HTTP-Server auf Port 8000 zu ermitteln.

Verwandt Hydra Kurse
Hydra für Anfänger

Hydra für Anfänger

CybersecurityHydra
Anfänger
Hydra Cybersicherheits-Angriffs-Labs

Hydra Cybersicherheits-Angriffs-Labs

CybersecurityHydra
Anfänger