Lesezeit: ca. 2 Minuten

Hydra für Einsteiger

Zusammenfassung

Hydra ist ein leistungsstarkes Tool für Passwortangriffe. Es führt automatisierte Angriffe auf Passwörter durch, indem es verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobiert, um ungeschützte Zugänge zu Systemen zu finden. Dabei nutzt es eine Methode namens Bruteforce, um Schwachstellen in der Passwortsicherheit zu entdecken. Es unterstützt mehrere beliebte Protokolle wie SSH, FTP, SMB usw. Obwohl es von Sicherheitsexperten für legale Zwecke verwendet wird, kann es auch von böswilligen Akteuren missbraucht werden. Daher sollte die Anwendung ethisch und verantwortungsbewusst sein.

Hydra Syntax

Im Grunde ist die Syntax relativ einfach:

hydra [Optionen] [Ziel] [Dienst]

Dadurch, dass Hydra viele Funktionen bietet, kann die Zusammensetzung des Befehls etwas herausfordernd sein, gerade wenn man Loginmasken per HTTP bruteforcen möchte – mehr dazu in einem Fortgeschrittenenbeitrag. Falls du dir jetzt schon einen Überblick verschaffen willst kannst du

hydra -h

eingeben, was das „Hilfemenü“ zeigt.

Hier die wichtigsten Parameter für den schnellen Einstieg:

  • hydra: Dies ist der Befehl, um Hydra auszuführen.

  • [Optionen]: Hier kannst du verschiedene Optionen hinzufügen, um den Angriff anzupassen. Es gibt viele Optionen, die du verwenden kannst, je nach den spezifischen Anforderungen des Angriffs.

    • -l: Angabe eines Usernamen, falls du bereits einen ausfindig gemacht hast
    • -L: Angabe einer Liste (.txt) voll mit Usernamen 
    • -p: Angabe eines Passworts, falls du bereits eins ausfindig gemacht hast
    • -P: Angabe einer Liste (.txt) voll mit Passwörtern
    • -C: Kombination von Username und Passwort in einer Liste (.txt) benutzt. Achte darauf, dass die Zugangsdaten mit einem : getrennt sind. Andernfalls wird Hydra die Prozedur nicht starten, z. B. AdminUser:SicheresPasswort1337
    • -V: Falls Zugangsdaten gefunden wurden, soll Hydra weitermachen (es könnten weitere Zugangsdaten gefunden werden)

  • [Ziel]: Dies ist die IP-Adresse oder der Hostname des Ziels, das du angreifen möchtest.

  • [Dienst]: Hier gibst du den Dienst oder das Protokoll an, gegen das du den Angriff durchführen möchtest. Zum Beispiel SSH, FTP, SMB, HTTP, MySQL, POP3, IMAP usw.

Ein Beispiel könnte so aussehen:
hydra -l admin -P passwortliste.txt 192.168.1.1 ssh -V

Bruteforcing

In diesem Beispiel wird der SSH Dienst von Metasploitable 2 angegriffen. Der Befehl lautet

hydra -L /usr/share/wordlists/metasploit/mirai_user.txt -P /usr/share/wordlists/metasploit/mirai_pass.txt 10.0.2.9 ssh -V

Das Bruteforcing hat in diesem Fall ca. zwei Minuten gedauert. Es wurde zwei Zugangsdaten ermittelt.

Zugangsdaten#1: user:user

 

Zugangsdaten#2: service:service

Validierung der Zugangsdaten user:user mit Erfolg!

Sensibilisierung

Es kommt immer wieder vor, dass schwache Passwörter vergeben und sogar Default-Zugangsdaten nicht verändert werden. Achte darauf, dass du mindestens 12 Zeichen mit Klein/Großbuchstaben, Zahlen und Sonderzeichen verwendest. Default-Zugangsdaten sollten immer geändert werden. Mit guten Listen sind diese einfach zu bruteforcen.

Falls möglich, solltest du Usernamen nicht preisgeben. Sie sind die „Hälfte der Miete“. Falls korrekte Usernamen ausfindig gemacht wurden, reduziert es die Zeit für Bruteforcingangriffe IMMENS! Falls du sie bewusst z. B. auf deiner Webseite/Blog/etc. angibst, schränke die Berechtigungen für diese User ein.