Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not your credentials, you should your web host.

Connection Type

▷ 11 ferramentas de ataque de força bruta para teste de penetração
Blogs4

11 ferramentas de ataque de força bruta para teste de penetração

Nota: O seguinte artigo irá ajudá-lo com: 11 ferramentas de ataque de força bruta para teste de penetração

Para o sistema de TI da sua empresa, você precisa de uma prova concreta para demonstrar que seu negócio online é sólido contra vários tipos de ataques cibernéticos, especialmente ataques de força bruta.

O que é um ataque de força bruta?

Um ataque de força bruta é um dos ataques cibernéticos mais perigosos que você pode enfrentar sem nenhum truque! Um ataque de força bruta visa o coração do seu site ou a segurança do seu dispositivo, a senha de ou as chaves de criptografia. Ele usa o método contínuo de tentativa e erro para explorá-los de forma decisiva.

As formas de ataque de força bruta são variadas, principalmente em:

  • Ataques híbridos de força bruta: tentando ou enviando milhares de palavras esperadas e do dicionário, ou mesmo palavras aleatórias.
  • Ataques reversos de força bruta: tentando obter a chave de derivação da senha usando pesquisas exaustivas.

Por que precisamos de ferramentas de teste de penetração?

Os atacantes de força bruta usam várias ferramentas para atingir esse objetivo. Você pode usar essas ferramentas de ataque de força bruta para Penetração. Este teste também é chamado de “pentesting” ou “pen testing”.

O teste de penetração é a prática de tentar hackear seus próprios sistemas de TI usando as mesmas formas que os hackers fazem. Isso o torna capaz de identificar quaisquer falhas de segurança.

: as ferramentas a seguir podem gerar muitas solicitações que você deve fazer apenas em seu ambiente de aplicativo.

Gobuster

Gobuster é uma das ferramentas de força bruta mais poderosas e rápidas que não precisam de tempo de execução. Ele usa um scanner de diretório programado pela linguagem Go; é mais rápido e flexível do que o script interpretado.

Características

  • O Gobuster também é conhecido por seu incrível e à simultaneidade, que permite lidar com várias tarefas e extensões, mantendo sua velocidade de processamento.
  • Uma ferramenta leve sem Java GUI funciona apenas na linha de comando em muitas plataformas.
  • Ajuda incorporada

Modos

  • dir – o modo de diretório clássico
  • dns – modo de subdomínio DNS
  • s3 – Enumere buckets S3 abertos e procure por existência e listagens de buckets
  • vhost – modo de host virtual

No entanto, ele sofre de uma falha, a falta de pesquisa recursiva de diretório, o que reduz sua eficácia para diretórios de vários níveis.

BruteX

O BruteX é uma ótima ferramenta completa baseada em shell de força bruta e de código aberto para todas as suas necessidades para atingir o alvo.

  • Abrir portas
  • Nomes de usuário
  • Senhas

Usa o poder de enviar um grande número de senhas possíveis de maneira sistemática.

Ele inclui muitos serviços reunidos de algumas outras ferramentas, como Nmap, Hydra e DNS enum. Isso permite que você verifique portas abertas, inicie FTP de força bruta, SSH e determine automaticamente o serviço em execução do servidor de destino.

Dirsearch

Dirsearch é uma ferramenta avançada de força bruta baseada em uma linha de comando. É um scanner de caminho da web AKA e pode diretórios e arquivos de força bruta em servidores da web.

O Dirsearch recentemente se torna parte dos pacotes oficiais do Kali Linux, mas também é executado no Windows, Linux e macOS. Ele foi escrito em Python para ser facilmente compatível com projetos e scripts existentes.

Também é muito mais rápido que a ferramenta DIRB tradicional e contém muito mais recursos.

  • e de proxy
  • Multithreading
  • Randomização do usuário-agente
  • e para várias extensões
  • Arena do scanner
  • Solicitar atraso

Para varredura recursiva, o Dirsearch é o vencedor. Ele está voltando e rastejando, procurando quaisquer diretórios adicionais. Juntamente com velocidade e simplicidade, é das melhores salas de força bruta para todos os pentesters.

inexperiente

Callow é uma ferramenta de força bruta de fácil de usar e personalizável. Escrito em python 3. Ele foi projetado para atender às necessidades e circunstâncias dos novatos.

Foram fornecidos experimentos de usuário flexíveis para fácil manipulação de erros, especialmente para iniciantes entenderem e intuirem facilmente.

SSB

O Secure Shell Bruteforcer (SSB) é uma das ferramentas mais rápidas e simples para servidores SSH de força bruta.

Usar o shell seguro do SSB oferece uma interface apropriada, diferente das outras ferramentas que quebram a senha de um servidor SSH.

Thc-Hydra

Hydra é uma das ferramentas mais famosas para cracking de usadas no Linux ou Windows/Cygwin. Além disso, para Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) e macOS. Ele a muitos protocolos, como AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY e muito mais.

Instalado por padrão no Kali Linux, o Hydra projetado com versões de linha de comando e gráficas. Ele pode quebrar um único ou uma lista de nomes de usuário/senhas pelo método de força bruta.

Além disso, é paralelizado, a ferramenta muito rápida e flexível que permite que você bloqueie a possibilidade de o não autorizado ao seu sistema remotamente.

Algumas outras ferramentas de hacker de são usadas para a mesma função, mas apenas Hydra a muitos protocolos diferentes e conexões paralelizadas.

Suíte Arroto

Vídeo do youtube

O Burp Suite Professional é um kit de ferramentas essencial para testadores de segurança na Web e vem com recursos rápidos e confiáveis. E também, pode automatizar tarefas de teste monótonas. Além disso, é projetado por recursos de teste de segurança manuais e semiautomatizados de especialistas. Muitos especialistas o usam para testar as dez principais vulnerabilidades do OWASP.

O Burp oferece muitos recursos exclusivos, desde aumentar a cobertura de varredura até personalizá-lo para o modo escuro. Ele pode testar/verificar aplicativos da Web modernos ricos em recursos, JavaScript, APIs de teste.

É uma ferramenta projetada realmente para testar serviços, não para hackear, como muitas outras. Assim, ele registra sequências de autenticação complexas e escreve relatórios para uso e compartilhamento direto dos usuários finais.

Ele também tem a vantagem de fazer testes de segurança de aplicativos fora de banda (OAST) que atinge muitas vulnerabilidades invisíveis que outros não conseguem. Além disso, é o primeiro a se beneficiar do uso do PortSwigger Research, que o coloca à frente da curva.

Patator

Patator é uma ferramenta de força bruta para uso multiuso e flexível dentro de um design modular. Ele aparece em frustração reflexa usando algumas outras ferramentas e scripts de ataques de obtenção de senha. Patator seleciona uma nova abordagem para não repetir erros antigos.

Escrito em Python, Patator é uma ferramenta multi-thread que deseja servir testes de penetração de uma maneira mais flexível e confiável do que os ancestrais. Ele a muitos módulos, incluindo os seguintes.

  • FTP
  • SSH
  • MySQL
  • SMTP
  • Telnet
  • DNS
  • PME
  • IMAP
  • LDAP
  • r
  • Arquivos zip
  • Arquivos de armazenamento de chaves Java

Pydictor

O Pydictor é outra ótima ferramenta poderosa para hackear dicionários. Quando se trata de testes longos e de força de senha, pode surpreender tanto iniciantes quanto profissionais. É uma ferramenta que os atacantes não podem dispensar em seu arsenal. Além disso, possui um excesso de recursos que permitem que você desfrute de um desempenho realmente forte em qualquer situação de teste.

  • Assistente permanente: permite criar uma lista de palavras geral, uma lista de palavras de engenharia social, uma lista de palavras especial usando o conteúdo da web, etc. Além disso, contém um filtro para ajudar a focar sua lista de palavras.
  • Altamente personalizado: você pode personalizar os atributos da lista de palavras conforme suas necessidades usando filtro por comprimento, modo leet e mais recursos.
  • Flexibilidade e compatibilidade: é capaz de analisar o arquivo de configuração, com a capacidade de funcionar sem problemas no Windows, Linux ou Mac.

Dicionários Pydictor

  • Dicionário Numérico
  • Dicionário do alfabeto
  • Dicionário de Letras Maiúsculas
  • Numérico Acoplado com Letras Maiúsculas
  • Maiúsculas Acopladas Com Letras Minúsculas
  • Numeral acoplado com alfabeto minúsculo
  • Combinando Maiúsculas, Minúsculas e Numeral
  • Adicionando Cabeça Estática
  • Manipulando o filtro de complexidade do dicionário

Ncrack

Ncrack é um tipo de ferramenta de cracking de rede com desempenho de alta velocidade. Ele foi projetado para ajudar as empresas a testar seus dispositivos de rede em busca de senhas fracas. Muitos profissionais de segurança recomendam o uso do Ncrack para auditar a segurança das redes do sistema. Foi lançado como uma ferramenta autônoma ou como parte do Kali Linux.

Por uma abordagem modular e um mecanismo dinâmico, o Ncrack projetado com uma linha de comando pode ajustar seu comportamento de acordo com o da rede. E pode realizar auditorias amplas e confiáveis ​​para muitos hosts ao mesmo tempo.

Os recursos do Ncrack não se limitam a uma interface flexível, mas asseguram o controle total das operações de rede para o usuário. Isso permite incríveis ataques sofisticados de força bruta, interação em tempo de execução e modelos de tempo para facilitar o uso, como o Nmap.

Os protocolos ados incluem SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA e DICOM, que o qualifica para uma ampla gama de indústrias.

Hashcat

11 ferramentas de ataque de força bruta para teste de penetração 1

Hashcat é uma ferramenta de recuperação de senha. Ele pode funcionar em Linux, OS X e Windows e ar muitos algoritmos Hashcat ados por hashcat, como MD4, MD5, família SHA, hashes LM e formatos Unix Crypt.

Hashcat tornou-se conhecido devido às suas otimizações que dependem em parte do software que o criador do Hashcat descobriu.

Hashcat tem duas variantes:

  • Ferramenta de recuperação de senha baseada em U
  • Ferramenta de recuperação de senha baseada em GPU

A ferramenta GPU pode quebrar algum legado de hashcat em menos tempo do que a ferramenta U (MD5, SHA1 e outras). Mas nem todo algoritmo pode ser quebrado mais rapidamente por GPUs. No entanto, o Hashcat foi descrito como o cracker de senhas mais rápido do mundo.

Conclusão

Após este show detalhado, você tem um variado arsenal de ferramentas para substituir. Escolha o que melhor lhe convier para cada situação e circunstância que você enfrenta. Não há razão para acreditar que não há diversidade de alternativas. Em alguns casos, as ferramentas mais simples são as melhores e, em outros, o contrário.

Em seguida, explore algumas das ferramentas de investigação forense.