Assalomu alaykum barchaga oldingi maqolamizda Brute force hujumini nima ekanligi haqida ma’lumot bergan edik.Brute force hujumidan nafaqat xakerlar balki pentesterlar ham tizimlarni Brute force hujumlarga naqadar bardoshli ekanligini testlash uchun ham foydalanishadi.
Ushbu maqolada Brute force hujumini amalga oshirish uchun eng yaxshi 8 ta vosita bilan tanishamiz.Ma’lumotlar axborot xavfsizligi sohasida ishlaydigan mutaxassislar uchun ham foydali bo’lishiga ishonamiz.
Brute force hujumi nima ekanligini yana bir bor eslatib o’tamiz.Brute force – bu parol yoki shifrlash kalitini taxmin qilish orqali topishga bo’lgan urinish hisoblanadi.Usul har xil login parol kombinatsiyalarini ulardan biri mos kelguncha ketma-ket sinab ko’rishdan iborat.
Ushbu hujumni qo’llashdan maqsad veb saytlar,serverlar yoki qo’rilmalardagi shaxsiy va maxfiy ma’lumotlarga ruxsatni qo’lga kiritish.Brute force hujumlari turli xil vositalar yordamida amalga oshiriladi.
1. Gobuster
Gobuster – Go dasturlash tilida yozilgan Brute force hujumlarini amalga oshirish uchun eng kuchli va tezkor vositalardan biridir.Gobuster eng ko’p ishlatiladigan 4 ta rejimini sanab o’tamiz:
1.1 dir – ushbu rejim veb-serverda yashirin katalog va fayllarni topish uchun ishlatiladi.Dir rejimidan foydalanish uchun veb-saytning URL manzilini va Gobuster Brute force uchun foydalanadigan wordlistni ko’rsatish kerak.
gobuster dir -u http://example.com -w /path/to/wordlist.txt
1.2 dns – ushbu rejim domendagi mavjud subdomenlarni qidirish uchun ishlatiladi. Ushbu rejimdan foydalanish uchun subdomnelari aniqlanishi kerak bo’lgan domen va subdomenlarni qidirish uchun wordlist kiritish kerak.
gobuster dns -d example.com -w /path/to/subdomains.txt
1.3 s3 – ushbu rejim Amazon S3 dagi ochiq “buckets” larni qidirish uchun ishlatiladi.
gobuster s3 -w /path/to/wordlist.txt
1.4 vhost – ushbu rejim domen joylashgan veb serverdagi boshqa virtual hostlarni ham aniqlash uchun ishlatiladi.
gobuster vhost -u http://example.com -w /path/to/wordlist.txt
2. BruteX
BruteX – bu serverdagi ishlab turgan turli xil servislarga, jumladan SSH, FTP shuningdek veb saytlarning kirish ya’ni avtorizatsiya oynalariga Brute force hujumlarini amalga oshirish uchun vositadir.
Bu yerda ham login va parollar uchun wordlistlar ta’lab qilinadi. Saytning tizimga kirish oynasi yani “авторизация” formasini ni Brute force qilish:
python brutex.py -u https://example.com/login -U usernames.txt -P passwords.txt -d "username=^USER^&password=^PASS^"
3. Dirsearch
Dirsearch – Bu Brute force hujumlari uchun ilg’or vosita.Dirsearch ham veb serverdagi maxfiy fayl va kataloglarni qidirish uchun ishlatiladi.Dirsearch yaqinda rasmiy Kali Linux dasturiy paketining bir qismiga aylandi, shuningdek u Windows va macOS uchun ham mavjud.Vosita tuliq Python dasturlash tilida yozilgan.
Dirsearch eng yaxshi rekursiv skanerlash dasturidir. U tizimni qayta-qayta o’rganib chiqadi va har qanday qo’shimcha kataloglarni qidiradi.
python3 dirsearch.py -u http://example.com -w /path/to/wordlist.txt -e php,html,txt
4. Callow
Callow – Bu qulay va sozlash oson bo’lgan Brute force hujumlarini amalga oshirish vositasi.Bu Python 3 da yozilgan.Callow endi kiberxavfsizlikda yangi bo’lgan boshlovchilarning barcha ehtiyojlari va imkoniyatlarini hisobga olgan holda ishlab chiqilgan.
Secure Shell Bruteforcer (SSB) –Bu SSH serverlariga Brute force hujumlarini amalga oshirish uchun eng tez va eng oddiy vositalardan biridir.
Secure Shell SSB SSH server parolini buzadigan boshqa vositalardan farqli o’laroq, sodda interfeysga ega.
python ssb.py -i 192.168.1.100 -U usernames.txt -P passwords.txt -p 22 -t 10 -v
6. Hydra
Hydra –Bu Linux va Windows operatsion tizimlarida ishlatiladigan eng mashhur Brute force hujumini amalga oshiradigan vositalaridan biridir.Bundan tashqari, u Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) va macOS-ga o’rnatish uchun mavjud.Hydra AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD va HTTP-PROXY kabi ko’plab protokollarni qo’llab-quvvatlaydi.
Kali Linux-da standart paketlar orqali o’rnatilgan Hydra dan ham terminalda, ham GUI interfeysda foydalanish mumkin.Bundan tashqari, bu juda tez va moslashuvchan vosita bo’lib, vazifalarni parallel bajarish funktsiyalari; foydalanuvchiga tizimga ruxsatsiz kirishni masofadan turib oldini olish imkonini beradi.
Hydra orqali SSH serverga Brute force hujumini amalga oshirishga misol:
hydra -L usernames.txt -P passwords.txt ssh://192.168.1.100
7. Burp Suite
Burp Suite Professional – veb saytlar xavfsizligini testlash bilan shug’ullanadigan pentesterlar uchun foydali vositalar to’plamidir.U juda ko’p foydali funksiyalarni taqdim etadi.Ushbu vositadan foydalanib, aytish mumkin bo’lsa minglab xavfsizlik vazifalarini avtomatlashtirish mumkin.Bundan tashqari, u ekspert darajasida qo’lda va yarim avtomatlashtirilgan veb sayt xavfsizlik testlari uchun mo’ljallangan.Ko’pgina pentesterlar undan OWASP ro’yxatida keltirilgan 10 ta eng keng tarqalgan zaifliklarni aniqlash uchun foydalanishadi.
Burp suite orqali zamonaviy veb saytlarni, JavaScript, API-larni sinab ko’rish skanerlash mumkin.Skanerlashdan tashqari Burp suite orqali veb saytlarning kirish ya’ni login pagelariga Brute force hujumlarini ham amalga oshirish mumkin.
8. Patator
Patator – bu turli xil protokollar va servislarga Brute force hujumlarini amalga oshirish uchun moslashuvchan vositadir.U SSH, FTP, HTTP , MySQL,SMTP,Telnet,DNS,IMAP va boshqa ko’plab protokollarni qo’llab-quvvatlaydi.
Patator orqali MYSQL protokoliga Brute force hujumini amalga oshirishga misol:
python3 patator.py mysql_login host=192.168.1.100 user=FILE0 password=FILE1 0=usernames.txt 1=passwords.txt -x ignore:fgrep='Access denied for user'
Xulosa
Bugungi maqolamizda Brute force hujumini amalga oshirishga muljallangan avtomatlashtirilgan vositalar bilan tanishib chiqdik.Keyingi darslarda ushbu vositalarni amaliy jarayonlarda ishlatish buyicha darslar chiqaramiz.Youtube kanalimizga obuna bo’ling va kuzatishda davom eting.
Comments