Descifrar FTP con Hydra y Lista de Palabras Personalizada

Introducción

En este desafío, se te encargará descifrar el servidor FTP de un empleado deshonesto utilizando Hydra y una lista de palabras personalizada. El escenario involucra un servidor FTP con seguridad débil que se ejecuta en la red de la empresa, y tu objetivo es identificar la contraseña y asegurar el servidor.

El desafío implica configurar un servidor FTP vulnerable utilizando vsftpd, crear un usuario llamado configuser con una contraseña conocida, y luego crear un archivo de lista de contraseñas personalizado llamado passwords.txt que contenga contraseñas potenciales como "config1", "config123" y "password". Finalmente, utilizarás Hydra para realizar un ataque de fuerza bruta (brute-force) a la contraseña FTP para la cuenta configuser en localhost utilizando tu lista de contraseñas personalizada, con el objetivo de identificar la contraseña correcta y demostrar la vulnerabilidad.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) hydra/HydraGroup -.-> hydra/single_password("Single Password Attack") hydra/HydraGroup -.-> hydra/ftp_attack("FTP Brute Force") hydra/HydraGroup -.-> hydra/output_saving("Output File Saving") subgraph Lab Skills hydra/single_password -.-> lab-550733{{"Descifrar FTP con una Lista de Palabras Personalizada"}} hydra/ftp_attack -.-> lab-550733{{"Descifrar FTP con una Lista de Palabras Personalizada"}} hydra/output_saving -.-> lab-550733{{"Descifrar FTP con una Lista de Palabras Personalizada"}} end

Descifrar FTP con una Lista de Palabras Personalizada (Custom Wordlist)

Un empleado deshonesto ha configurado un servidor FTP personal en la red de la empresa con una contraseña débil. Tu misión es usar Hydra para identificar la contraseña y asegurar el servidor.

Tareas

Crea un archivo de lista de contraseñas llamado passwords.txt en el directorio ~/project que contenga las contraseñas "config1", "config123" y "password".
Usa Hydra para descifrar la contraseña FTP para el nombre de usuario configuser en localhost utilizando tu lista de contraseñas personalizada.

Requisitos

El archivo de lista de contraseñas debe llamarse passwords.txt y estar ubicado en el directorio ~/project.
El comando Hydra debe apuntar al servicio FTP que se ejecuta en localhost.
El comando Hydra debe especificar el nombre de usuario configuser.
El comando Hydra debe usar el archivo de lista de contraseñas que creaste.
El archivo de lista de contraseñas debe contener las contraseñas "config1", "config123" y "password", cada una en una nueva línea.
Guarda los resultados en un archivo results.txt en el directorio ~/project.

Ejemplos

Si Hydra descifra la contraseña con éxito, verás una salida similar a:

cat ~/project/results.txt

Debería mostrar la siguiente salida:

[21][ftp] host: localhost   login: configuser   password: [placeholder]

Sugerencias

Usa el comando echo -e o la edición manual para crear el archivo de lista de contraseñas.
Consulta la documentación del laboratorio para la sintaxis correcta de Hydra.

✨ Revisar Solución y Practicar

Resumen

En este desafío, el objetivo es descifrar una contraseña FTP utilizando Hydra con una lista de palabras personalizada (custom wordlist). La configuración implica instalar y configurar vsftpd e hydra, crear un usuario de prueba (configuser) con una contraseña débil conocida y, a continuación, iniciar el servicio FTP.

La tarea requiere crear un archivo passwords.txt que contenga contraseñas potenciales, y luego usar Hydra para realizar un ataque de fuerza bruta (brute-force) a la contraseña FTP para la cuenta configuser en localhost, especificando la lista de contraseñas personalizada. Este ejercicio demuestra cómo usar Hydra para identificar contraseñas débiles en los servicios FTP y destaca la importancia de las políticas de contraseñas seguras.