En éste pequeño tutorial mostraré como hacer un ataque de fuerza bruta o bruteforce (es decir, probar muchas combinaciónes de usuario/clave por segundo) para obtener acceso en cualquier Wordpress.
No hace falta ser un "hacker" para ésta tarea ya que solo estamos utilizando una herramienta. Publico éste tutorial con fines didácticos para que otros puedan probar la fortaleza de sus propios sitios y principalmente para concientizar de que nada es seguro en internet, a menos que nosotros lo hagamos seguro.
Si bien existen infinidad de herramientas, o incluso hasta podríamos hacerlo manualmente con curl + bashscript, el software por exclencia es WPScan y lo pueden bajar desde: https://github.com/wpscanteam/wpscan
WPScan permite: listar vulnerabilidades, listar plugins, themes, y nombres de usuarios y principalmente realizar ataques de fuerza bruta de una forma sencilla y rápida.
Al correr por primera vez WPScan nos pedirá actualizarlo en primer lugar y luego comenzará el análisis.
Si queremos realizar un ataque por fuerza bruta, tenemos dos opciónes:
1) Atacar a todos los usuarios con un diccionario
ej: atacamos a todos los usuarios (wpscan los detecta automaticamente) y utilizamos las claves de diccionario.txt , todo ésto con 20 conexiones simultaneas, aunque pueden ser menos o mas.
2) Atacar a un usuario en particular
ej: atacamos al usuario 'admin' en este caso, y todo lo demás similar al ejemplo anterior.
¿Necesitás un diccionario?
A mi particularmente me dió buen resultado utilizar los nombres de usuario como clave, aunque con algunas modificaciónes, ya que la mayoría de la gente común utiliza su nombre o username modificandole mayusculas, números, agregando el año, ej:
admin123, admin2017, AdMiN, o simplemente números 123456, 12345678, etc.
También podemos generar nuestro propio diccionario utilizando alguna herramienta como "crunch" y creando claves basadas en patrones. Ej: claves alfanuméricas que contengan un rango de tamaño, o que incluyan alguna secuencia de caracteres o números que creamos conveniente.
Ej: creamos un diccionario con claves entre 6 a 12 dígitos con todas las combinaciones posibles que incluyen las letras abc y numeros 123.
crunch 6 12 abc123 >> diccionario.txt
Particularmente recomiendo diccionarios que incluyan todos los caracteres posibles, mayusculas, minusculas, números, caracteres especiales y un rango entre 7 a 10 caracteres, ya que casi nadie utiliza "menos" o "mas" de esa cantidad en longitud.
Por ultimo, cabe aclarar que un ataque de éste tipo puede demorar minutos, horas, dias o semanas en el peor de los casos (si las claves son fuertes), sin embargo es 100% efectivo y funciona en todos los casos, salvo que la "víctima" utilize algun plugin de seguridad, captcha o protección con htaccess que para ello se requiere un paso extra (será publicado en la próxima edición).
Bienvenidos comentarios, críticas y consultas.
Hasta la próxima!
No hace falta ser un "hacker" para ésta tarea ya que solo estamos utilizando una herramienta. Publico éste tutorial con fines didácticos para que otros puedan probar la fortaleza de sus propios sitios y principalmente para concientizar de que nada es seguro en internet, a menos que nosotros lo hagamos seguro.
Si bien existen infinidad de herramientas, o incluso hasta podríamos hacerlo manualmente con curl + bashscript, el software por exclencia es WPScan y lo pueden bajar desde: https://github.com/wpscanteam/wpscan
WPScan permite: listar vulnerabilidades, listar plugins, themes, y nombres de usuarios y principalmente realizar ataques de fuerza bruta de una forma sencilla y rápida.
Al correr por primera vez WPScan nos pedirá actualizarlo en primer lugar y luego comenzará el análisis.
Si queremos realizar un ataque por fuerza bruta, tenemos dos opciónes:
1) Atacar a todos los usuarios con un diccionario
ej: atacamos a todos los usuarios (wpscan los detecta automaticamente) y utilizamos las claves de diccionario.txt , todo ésto con 20 conexiones simultaneas, aunque pueden ser menos o mas.
wpscan --url www.victima.com --wordlist diccionario.txt --threads 202) Atacar a un usuario en particular
ej: atacamos al usuario 'admin' en este caso, y todo lo demás similar al ejemplo anterior.
wpscan --url www.victima.com --wordlist diccionario.txt --username admin¿Necesitás un diccionario?
A mi particularmente me dió buen resultado utilizar los nombres de usuario como clave, aunque con algunas modificaciónes, ya que la mayoría de la gente común utiliza su nombre o username modificandole mayusculas, números, agregando el año, ej:
admin123, admin2017, AdMiN, o simplemente números 123456, 12345678, etc.
También podemos generar nuestro propio diccionario utilizando alguna herramienta como "crunch" y creando claves basadas en patrones. Ej: claves alfanuméricas que contengan un rango de tamaño, o que incluyan alguna secuencia de caracteres o números que creamos conveniente.
Ej: creamos un diccionario con claves entre 6 a 12 dígitos con todas las combinaciones posibles que incluyen las letras abc y numeros 123.
crunch 6 12 abc123 >> diccionario.txt
Particularmente recomiendo diccionarios que incluyan todos los caracteres posibles, mayusculas, minusculas, números, caracteres especiales y un rango entre 7 a 10 caracteres, ya que casi nadie utiliza "menos" o "mas" de esa cantidad en longitud.
Por ultimo, cabe aclarar que un ataque de éste tipo puede demorar minutos, horas, dias o semanas en el peor de los casos (si las claves son fuertes), sin embargo es 100% efectivo y funciona en todos los casos, salvo que la "víctima" utilize algun plugin de seguridad, captcha o protección con htaccess que para ello se requiere un paso extra (será publicado en la próxima edición).
Bienvenidos comentarios, críticas y consultas.
Hasta la próxima!
Comentarios
Publicar un comentario