LabEx
ログイン無料登録

カスタムワードリストで FTP を攻略する

HydraHydraBeginner
今すぐ練習

💡 このチュートリアルは英語版からAIによって翻訳されています。原文を確認するには、 ここをクリックしてください

はじめに

このチャレンジ(Challenge)では、Hydra とカスタムワードリストを使用して、不正な従業員の FTP サーバーを攻略するタスクが与えられます。シナリオは、社内ネットワーク上で実行されている脆弱な FTP サーバーを対象としており、あなたの目的はパスワードを特定し、サーバーを保護することです。

このチャレンジ(Challenge)では、vsftpdを使用して脆弱な FTP サーバーをセットアップし、既知のパスワードを持つconfiguserという名前のユーザーを作成し、次に"config1"、"config123"、"password"などの潜在的なパスワードを含むpasswords.txtという名前のカスタムパスワードリストファイルを作成します。最後に、Hydra を使用して、カスタムパスワードリストを使用してlocalhost上のconfiguserアカウントの FTP パスワードをブルートフォース(総当たり)攻撃し、正しいパスワードを特定して脆弱性を示すことを目指します。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL hydra(("Hydra")) -.-> hydra/HydraGroup(["Hydra"]) hydra/HydraGroup -.-> hydra/single_password("Single Password Attack") hydra/HydraGroup -.-> hydra/ftp_attack("FTP Brute Force") hydra/HydraGroup -.-> hydra/output_saving("Output File Saving") subgraph Lab Skills hydra/single_password -.-> lab-550733{{"カスタムワードリストで FTP を攻略する"}} hydra/ftp_attack -.-> lab-550733{{"カスタムワードリストで FTP を攻略する"}} hydra/output_saving -.-> lab-550733{{"カスタムワードリストで FTP を攻略する"}} end

カスタムワードリストで FTP を攻略する

不正な従業員が、脆弱なパスワードで個人の FTP サーバーを社内ネットワークにセットアップしました。あなたのミッションは、Hydra を使用してパスワードを特定し、サーバーを保護することです。

タスク

  • ~/projectディレクトリに、"config1"、"config123"、"password"というパスワードを含むpasswords.txtという名前のパスワードリストファイルを作成します。
  • Hydra を使用して、カスタムパスワードリストを使用してlocalhost上のユーザー名configuserの FTP パスワードを攻略します。

要件

  1. パスワードリストファイルはpasswords.txtという名前で、~/projectディレクトリに配置されている必要があります。
  2. Hydra コマンドは、localhostで実行されている FTP サービスをターゲットにする必要があります。
  3. Hydra コマンドは、ユーザー名configuserを指定する必要があります。
  4. Hydra コマンドは、作成したパスワードリストファイルを使用する必要があります。
  5. パスワードリストファイルには、"config1"、"config123"、"password"というパスワードが、それぞれ新しい行に記述されている必要があります。
  6. 結果を~/projectディレクトリのresults.txtファイルに保存します。

Hydra がパスワードの攻略に成功した場合、次のような出力が表示されます。

cat ~/project/results.txt

次の出力が表示されるはずです。

[21][ftp] host: localhost   login: configuser   password: [placeholder]
hydra attack

ヒント

  • echo -eコマンドまたは手動編集を使用して、パスワードリストファイルを作成します。
  • 正しい Hydra の構文については、実験(Lab)のドキュメントを参照してください。
✨ 解答を確認して練習

概要

このチャレンジ(Challenge)の目標は、Hydra とカスタムワードリストを使用して FTP パスワードを攻略することです。セットアップには、vsftpdhydraのインストールと構成、既知の脆弱なパスワードを持つテストユーザー(configuser)の作成、および FTP サービスの開始が含まれます。

このタスクでは、潜在的なパスワードを含むpasswords.txtファイルを作成し、次に Hydra を使用して、カスタムパスワードリストを指定して、localhost上のconfiguserアカウントの FTP パスワードをブルートフォース(総当たり)攻撃する必要があります。この演習は、Hydra を使用して FTP サービスの脆弱なパスワードを特定する方法を示し、強力なパスワードポリシーの重要性を強調します。