Parola Kırma Saldırısı Nasıl Yapılır?

Hdyra isimli aracı kullanarak fiziksel olarak erişemediğimiz cihazların parolalarını çevrimiçi (online) nasıl kırabileceğimizi göreceğiz. Hydra, FTP, HTTP, HTTPS, MySQL, MSSQL, Oracle, Cisco, IMAP, VNC vb. birçok protokolü desteklemektedir. Hydra, komut satırından ve grafik arayüz ile kullanılabilir. Hdyra bizim belirlediğimiz veya Kali ile gelen hazır sözlük listelerini kullanarak bir kaba kuvvet (brute force) saldırısı ile parolaları kırmaya çalışır.

İlk yapacağımız iş Kali ile hazır gelen ve sıkıştırılmış dosya şeklinde olan sözlük listesini çıkarmak olacak. Rockyou isimli sıkıştırılmış liste dosyasını açmak için terminalde gunzip /usr/share/wordlists/rockyou.txt.gz komutunu yazıyoruz. Bu sözlük listesinde milyonlarca kullanıcı adı ve parola bulunuyor.

Şimdi de Hdyra’yı görsel arayüzle başlatalım. Bunun için Applications/Password Attacks/Online Attacks yolunu izleyip hydra-gtk simgesine tıklıyoruz.

Program başladığında Target, Password, Tunning, Specific ve Start olmak üzere 5 sekmeden oluşan bir pencere bizi karşılıyor.

Hedef Kurban makinemiz Metasploitable Linux olsun ve mysql veri tabanı parolasını ele geçirmek için bir saldırı düzenleyelim. Öncelikle Target sekmesinde gerekli bilgileri giriyoruz.

Daha sonra Password sekmesine geçip, Username ve Password list kısmına az önce dışarı çıkardığımız rockyou.txt dosyasını gösteriyoruz. Bunun için File System-usr-share-wordlists yolunuzu izlemeniz yeterli. Tyr empty password seçeneğine onay koymayı unutmayın, bazen parola kısmı boş bırakılabiliyor yani parola verilmemiş olabiliyor.

Şimdi de Tunning sekmesine geçelim. Burada Number of tasks seçeneğini 2 ye düşürelim ki kurban bilgisayar iptal (down) olmasın. Ayrıca Exit after first found pair option seçeneğini işaretleyelim, böylece parola bulunca işlem sonlandırılsın. Dikkat ederseniz pencerenin en altında Hydra’yı terminalde çalıştırmak için kullanmamız gereken komutlar görünüyor.

Son olarak Start sekmesine geçip Start düğmesine basıyoruz. Şimdi bilgisayarınızın başından kalkıp gezmeye çıkabilirsiniz. Çünkü parolanın karmaşıklığına göre bir kaç saat veya bir kaç günde sonuç almak mümkün.

Yazar Hakkında

2 Comments

  1. Serdar Eyüp ALTIN 6 Kasım 2019 Cevapla
    • Cemal Taner 6 Kasım 2019 Cevapla

Reply