🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Cómo usar Hydra para “rociar” contraseñas

¿Has oído hablar de obtener una contraseña por ataque de fuerza bruta? Un ataque de fuerza bruta es cuando los atacantes intentan hackear una sola cuenta adivinando su contraseña.

Digamos que un atacante está intentando hackear la cuenta del usuario “Juan”. El atacante primero generará una lista de contraseñas para usar. Puede usar un diccionario de contraseñas comunes que encontró en línea o una lista de contraseñas probables generadas en función de su conocimiento del usuario.

Luego, el atacante usa un script para liberar rápidamente intentos de inicio de sesión en el servicio. Este trata de iniciar sesión en el servicio con el nombre de usuario “Juan” y diferentes contraseñas hasta que encuentra la correcta.

Pero las aplicaciones modernas se están volviendo más inteligentes. La mayoría de las aplicaciones web ahora implementan políticas de bloqueo de cuentas. Si la aplicación detecta que una cuenta ha tenido algunos intentos fallidos de inicio de sesión en un corto período de tiempo, la aplicación bloqueará la cuenta. La aplicación bloqueará los nuevos inicios de sesión.

La aplicación a menudo también notificará al usuario sobre los intentos fallidos de inicio de sesión o alertará a los administradores del sistema.

Esto significa que los ataques tradicionales de fuerza bruta ya no son factibles para la mayoría de las aplicaciones. Para evitar bloqueos de cuenta, los atacantes deberán espaciar tus contraseñas.

Esto hace que la fuerza bruta sea demasiado lenta. Es por eso que los atacantes están utilizando un ataque de “rociado de contraseña”. Esto como una alternativa a la fuerza bruta.

¿Qué es el rociado (spraying) de contraseñas?

Durante un ataque de rociado de contraseña, el atacante intenta acceder a una gran cantidad de cuentas con una pequeña lista de contraseñas de uso común.

Primero intentará iniciar sesión en todos los nombres de usuario con la primera contraseña común antes de intentar la segunda contraseña común en todas las cuentas, y así sucesivamente.

Por ejemplo, los intentos de inicio de sesión generados por un ataque tradicional de fuerza bruta se ven así:

username: john, password: password
username: john, password: password1
username: john, password: password2
username: john, password: password3
username: chris, password: password
username: chris, password: password2
username: chris, password: password3
username: chris, password: password4

 

Mientras que los intentos de inicio de sesión de un ataque de rociado de contraseña se ven así:

username: john, password: password
username: chris, password: password
username: dave, password: password
username: richard, password: password
username: john, password: password2
username: chris, password: password2
username: dave, password: password2
username: richard, password: password2

Al probar la misma contraseña en una gran cantidad de cuentas, los atacantes pueden, naturalmente, espaciar las conjeturas en cada cuenta. Y debido a que muchos usuarios usan contraseñas débiles, es posible obtener un éxito después de probar solo algunas de las contraseñas más comunes.

Usando Hydra para rociar contraseñas:

Este contenido se encuentra parcialmente protegido

2 thoughts on "Cómo usar Hydra para “rociar” contraseñas"

  1. Holaa me podrias ayudar es que siempre me sale este error y ya no se como solucionarlo_:
    error could not connect to ssh socket error disconnect

    1. Eso es por que el servidor que atacas probablemente te está bloqueando por que detecta el bruteforce, tendrías que intentar con proxychains, saludos.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información