본문 바로가기

전공 공부/리눅스 보안 실습

무차별 대입 공격(hydra, 히드라)

728x90

이 글은 교육목적으로 작성하는 것으로 절대 타인의 컴퓨터에 공격을 해서는 안됩니다.

범죄 행위이고 처벌을 받을 수 있습니다.

모든 해킹 행위는 자기 자신에게 책임이 있습니다.

 

제 블로그는 불법적인 해킹 행위를 권장하거나 유도하지 않습니다. 오로지 테스트 및 연습 목적으로 읽어주시면 감사하겠습니다.

 

히드라?

 

https://tools.kali.org/password-attacks/hydra

 

THC-Hydra

Hydra is a parallelized login cracker which supports numerous protocols to attack. It is very fast and flexible, and new modules are easy to add. This tool makes it possible for researchers and security consultants to show how easy it would be to gain unau

tools.kali.org

tool.kail에 보면 히드라 패키지에 대해 설명되어 있는 글이 있습니다.

히드라는 병렬화된 로그인 크랙커로 수많은 프로토콜을 지원한다고 설명하고 있습니다.

 

 

hydra라고 치면 여러 간략한 정보들에 대해서 볼 수 있습니다. 첫째줄에 보면 밀리터리나 비밀 서비스에 사용하지 말라고 쓰여있는 문구도 볼 수 있습니다. 절대 하지 맙시다.

 

-l 옵션으로 로그인 할 이름을 줄 수 있고 -p 옵션으로 패스워드 옵션을 줄 수 있습니다. -L이나 -P 같이 대문자로 사용을 하게 되면 파일을 불러올 수 도 있습니다.

 

 

 

이를 이용해 메타스플로잇터블의 SSH 서버로 무차별 대입 공격을 해보겠습니다.

 

hydra -l root -P /root/passwords_test.txt -f 192.168.196.142 ssh

이 또한 미리 만들어놓은 패스워드 목록을 이용해 무차별 대입공격을 해보았습니다.

-l 옵션으로 로그인 시도할 아이디는 root / -P 옵션으로 로그인을 시도할 텍스트 파일들을 불러왔습니다.

 

성공적으로 접속이 되는 것을 확인할 수 있습니다.

 

 

hydra -L /root/users.txt -P /root/passwords_test.txt -f 192.168.196.142 ftp

ftp와 telnet 서버도 시도를 해보았습니다. 기본적으로 맨 뒤에 ssh를 ftp, telnet으로 변경하는 것으로 공격을 시도할 수 있습니다.

 

여기에서는 -L 옵션을 주어 users.txt 목록들이 있는 아이디를 불러와 대입 공격을 했습니다.

728x90