Привет друг, сегодня я бы хотел затронуть достаточно популярную тему, связанную с брутфорсом различных протоколов защиты, шифрования или просто паролей. SSH как таковой является удобным способом работать с серверами или другими сетевыми устройствами, от твоего домашнего компьютера, и до маршрутизатора. Перейдем непосредственно к теме статьи.
Брутфорс SSH пароля имея на руках имя пользователя и список возможных паролей, как такое можно провернуть в 2021 году, когда есть куча инструментов защиты, такие как fail2ban. У меня есть ответ. Да, конечно же сервера крупных компаний имеют огромную защиту от брутфорса aka подбора пароля, но нас интересует больше применение тактик подбора на устройствах с пониженной защитой. Итак, компания EntySec разработала быстрый брутфорсер для таких целей.
Вот этот инструмент с открытым кодом - EntySec Shreder
Скажу немного о преимуществах данного инстпумента:
Представьте, перед вами стоит задача подобрать пароль к малине aka Raspberry PI, вы знаете что имя пользователя это pi, но вот пароль вы просто забыли. Единственное что вы помните о пароле, то это то, что он был достаточно простым.
Перейдем непосредственно к установке данного инструмента.
После завершения процесса установки пакета, стоит проверить что все корректно установилось.
Отлично, теперь возьмем, адрес нашего устройства, имя пользователя SSH и список паролей (более популярный - rockyou.txt).
В заключение могу сказать, что не смотря на то, как много средств защиты от брутфорса существует, не все их используют. Правильно кто-то сказал - "Человек и есть уязвимость".
Брутфорс SSH пароля имея на руках имя пользователя и список возможных паролей, как такое можно провернуть в 2021 году, когда есть куча инструментов защиты, такие как fail2ban. У меня есть ответ. Да, конечно же сервера крупных компаний имеют огромную защиту от брутфорса aka подбора пароля, но нас интересует больше применение тактик подбора на устройствах с пониженной защитой. Итак, компания EntySec разработала быстрый брутфорсер для таких целей.
Вот этот инструмент с открытым кодом - EntySec Shreder
Скажу немного о преимуществах данного инстпумента:
- Очень быстрый подбор пароля, один пароль всего за 0,1 секунды.
- Оптимизирован для больших списков паролей, Shreder пробует 1000 паролей за 1 минуту 40 секунд.
- Простое использование интерфейса командной строки и API.
Представьте, перед вами стоит задача подобрать пароль к малине aka Raspberry PI, вы знаете что имя пользователя это pi, но вот пароль вы просто забыли. Единственное что вы помните о пароле, то это то, что он был достаточно простым.
Перейдем непосредственно к установке данного инструмента.
pip3 install git+https://github.com/EntySec/ShrederПосле завершения процесса установки пакета, стоит проверить что все корректно установилось.
shreder -h
Отлично, теперь возьмем, адрес нашего устройства, имя пользователя SSH и список паролей (более популярный - rockyou.txt).
shreder -u pi -l rockyou.txt <address>
В заключение могу сказать, что не смотря на то, как много средств защиты от брутфорса существует, не все их используют. Правильно кто-то сказал - "Человек и есть уязвимость".
