Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

BruteSpray: automatizar el escaneo de puertos y hacer ataque por fuerza bruta

  • 7 Respuestas
  • 5750 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 906
  • Actividad:
    3.33%
  • Reputación 18
    • Ver Perfil
    • Email
« en: Junio 24, 2018, 08:45:28 pm »

¿Conoces el popular software Nmap para descubrimiento de hosts y también para escaneo de puertos entre otras muchas funciones?

BruteSpray es una herramienta que no solo combina el poder de Nmap, sino que también permite atacar los servicios descubiertos con el software Medusa.

¿Quieres conocer todos los detalles de esta herramienta hecha en Python?

Principales Características de BruteSpray

BruteSpray es un script escrito en Python que se encarga de buscar hosts y puertos abiertos con el software Nmap para Linux, proporcionando una salida GNMAP o XML de manera automática, para posteriormente atacar los servicios descubiertos en los diferentes hosts con el software Medusa.

Este último programa se encarga de realizar la fuerza bruta, es decir, intentar entrar en servicios como SSH o FTP entre otros muchos protocolos. Este script no solo busca en los hosts si tenemos los puertos “estándar” abiertos, sino también los no-estándar utilizando el típico -sV dentro de Nmap.

Los servicios que se pueden crackear por parte de Medusa, una vez encontrados los hosts disponibles y los puertos abiertos, son los siguientes:

-ssh
-ftp
-telnet
-vnc
-mssql
-mysql
-postgresql
-rsh
-imap
-nntp
-pcanywhere
-pop3
-rexec
-rlogin
-smbnt
-smtp
-svn
-vmauthd
-snmp


Tal y como podéis ver, tenemos protocolos muy típicos como pueden ser FTP, SSH, POP3, VNC e incluso a bases de datos.

Descarga e instalación de BruteSpray

La descarga e instalación de BruteSpray es realmente fácil y rápida. Este script está diseñado para funcionar en la popular distribución Linux de seguridad Kali Linux, y también en el resto de equipos basados en Linux como Debian y otras distribuciones.

Si tenemos el sistema operativo Kali Linux, la instalación es tan simple como hacer:

Código: Bash
  1. apt-get install brutespray


Si no tenemos el sistema Kali Linux, deberemos realizar la instalación de una forma algo más “manual”. Lo primero que tenemos que hacer es clonar el repositorio del proyecto, para proceder con la instalación:

Código: Bash
  1. git clone https://github.com/x90skysn3k/brutespray

Una vez clonado, nos metemos en el directorio que ha creado para la instalación del software adicional:

Código: Bash
  1. cd brutespray

Si estamos en un sistema Linux (y no Kali Linux), debemos ejecutar:

Código: Bash
  1. pip install -r requirements.txt

Y automáticamente se instalarán todo el software necesario para su funcionamiento.

Uso y puesta en marcha de BruteSpray

El funcionamiento de BruteSpray es bastante sencillo, y es que simplemente al ejecutar el siguiente comando en terminal accederemos a todos las órdenes que podremos realizar:

Código: Bash
  1. python brutespray.py -h

Lo primero que tenemos que hacer es ejecutar Nmap para descubrir los hosts y puertos, y exportar esta información para usarlo con BruteSpray. Después, tenemos que abrir BruteSpray importando el fichero generado por Nmap, por lo que tendremos que hacer algo como esto:

Código: Bash
  1. python brutespray.py --file salidanmap.xml -i

Os recomendamos visitar el proyecto Brutespray en GitHub , aquí encontraréis el código fuente de la herramienta y también cómo descargarlo y ejecutarlo en cualquier sistema operativo Linux.

Fuente: redeszone.net
« Última modificación: Junio 24, 2018, 08:52:24 pm por Gabriela »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5489
  • Actividad:
    13.33%
  • Reputación 36
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Junio 24, 2018, 08:58:47 pm »
Muy buen aporte Gabriela!!
Usa diccionario o que usa para brutear?

Saludos,
ANTRAX


Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 906
  • Actividad:
    3.33%
  • Reputación 18
    • Ver Perfil
    • Email
« Respuesta #2 en: Junio 24, 2018, 09:16:14 pm »

Si, ANTRAX, es por diccionario; ya que  para el ataque por fuerza bruta utiliza Medusa.

Saludos

Gabriela

Desconectado redondord

« Respuesta #3 en: Noviembre 04, 2018, 08:17:02 pm »
Muchas gracias, me pueden recomendar algun diccionario que usen? Estoy empezando en este mundo y he buscado pero no he encontrado alguno suficientemente grande.

Gracias

Enviado desde mi WAS-LX3 mediante Tapatalk


Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 441
  • Actividad:
    66.67%
  • Reputación 11
    • Ver Perfil
    • Email

Desconectado redondord

« Respuesta #5 en: Noviembre 07, 2018, 10:43:38 pm »
https://haveibeenpwned.com/Passwords
Muchas gracias!!

Enviado desde mi WAS-LX3 mediante Tapatalk


Desconectado cristobal92

  • *
  • Underc0der
  • Mensajes: 42
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Diciembre 31, 2018, 08:02:06 pm »
Muchas gracias Gabriela por tu aporte!!

Pregunta:  para realizar ataque de fuerza bruta  con medusa es necesario tener un diccionario o tiene uno predeterminado??


Gracias!!!
""El problema más grave no es que se le llame delincuente a un hacker, sino, y por el contrario, que se le llame hacker a un delincuente""


Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 273
  • Actividad:
    5%
  • Reputación 1
  • Vivir sin sueño no es vivir.
    • Ver Perfil

 

¿Te gustó el post? COMPARTILO!



Un Redirect en Facebook para hacer Phishing a Facebook

Iniciado por Stiuvert

Respuestas: 4
Vistas: 6863
Último mensaje Enero 09, 2014, 11:46:26 pm
por Snifer
EmailSpammer hacer spam nunca habia sido tan facil

Iniciado por user_en1gm4

Respuestas: 7
Vistas: 4425
Último mensaje Enero 31, 2018, 03:45:54 am
por user_en1gm4
[Tutorial] Como hacer un BAD USB (Un Rubber Ducky USB)

Iniciado por Stiuvert

Respuestas: 12
Vistas: 19781
Último mensaje Abril 11, 2017, 03:08:03 am
por th3nolo
Script para hacer HTTP Flood

Iniciado por v4char

Respuestas: 0
Vistas: 2607
Último mensaje Julio 28, 2015, 11:09:57 am
por v4char
[CURSO] Tecnicas basicas y avanzadas de ataque y defensa Hacking

Iniciado por graphixx

Respuestas: 0
Vistas: 3815
Último mensaje Febrero 09, 2016, 04:50:39 am
por graphixx