11 Brute-Force-Angriffswerkzeuge für den Penetrationstest

Für das IT-System Ihres Unternehmens benötigen Sie ein Stück Beton proof demonstrierenate dass Ihr Online-Geschäft vor verschiedenen Arten von Cyberangriffen geschützt ist, insbesondereally Brute-Force-Angriffe.
Was ist ein Brute-Force-Angriff?
A brute-force attack is one of the most dangerous cyberattacks that you may have no trick in confronting! A brute-force attack aims at the heart of your website or your device’s security, the login password, or encryption keys. It uses the continuous trial-and-error method to explore them decisively.
Die Arten des Brute-Force-Angriffs variieren, hauptsächlich in:
- Hybride Brute-Force-Angriffe: Versuch oder Übermittlung von Tausenden von erwarteten und Wörterbuchwörtern oder sogar zufälligen Wörtern.
- RevAndere Brute-Force-Angriffe: Es wird versucht, mithilfe umfassender Recherche den Ableitungsschlüssel des Passworts zu ermitteln.
Warum brauchen wir Penetrationstest-Tools?
Die Brute-Force-Angreifer verwenden verschiedene Werkzeuge, um dieses Ziel zu erreichen. Sie können diese Brute-Force-Angriffswerkzeuge selbst verwenden Penetration. Diese Prüfung wird auch „pentesting“ oder „Pen-Test“.
Der Penetrationstest ist die Praxis, Ihre eigenen IT-Systeme auf die gleiche Weise wie Hacker zu hacken. Auf diese Weise können Sie Sicherheitslücken identifizieren.
Hinweis: Die folgenden Tools können generiert werdenate Viele Anfragen, die Sie nur an Ihre Anwendungsumgebung stellen sollten.
Gobuster
Gobuster ist eines der leistungsstärksten und schnellsten Brute-Force-Tools, das keine Laufzeit benötigt. Es verwendet einen von programmierten Verzeichnisscanner Geh Sprache;; Es ist schneller und flexibler als interpretierte Skripte.
Eigenschaften
- Gobuster ist auch für seine großartige Unterstützung bekannt concurrenz, die es ihm ermöglicht, mehrere Aufgaben und Erweiterungen zu bewältigen und dabei seine Geschwindigkeit beizubehalten processing.
- A lightweight tool without Java GUI works only on the command line in many platFormen.
- Eingebaute Hilfe
Modi
- dir - der klassische Verzeichnismodus
- DNS - DNS-Subdomain-Modus
- s3 – Aufzählungate Öffnen Sie S3-Buckets und suchen Sie nach Existenz- und Bucket-Listen
- vhost - virtueller Hostmodus
Es leidet jedoch an einem Fehler, der Armut bei der rekursiven Verzeichnissuche, was seine Effektivität für Verzeichnisse mit mehreren Ebenen verringert.
BruteX
BruteX ist ein großartiges All-in-One-Brute-Force-Shell-basiertes Open-Source-Tool für alle Ihre Anforderungen, um das Ziel zu erreichen.
- Öffnen Sie die Ports
- Benutzernamen
- Passwörter
Nutzt die Möglichkeit, eine große Anzahl möglicher Passwörter systematisch zu übermitteln.
Es enthält viele Dienste, die von einigen anderen Tools wie z Nmap, Hydra & DNS-Aufzählung. Dies ermöglicht es Ihnen Nach offenen Ports suchen, starten Sie Brute-Force-FTP, SSH und automatischally Bestimmen Sie den laufenden Dienst des Zielservers.
Dirsuche
Dirsuche ist ein erweitertes Brute-Force-Tool, das auf einer Befehlszeile basiert. Es ist ein AKA-Webpfad-Scanner und kann Verzeichnisse und Dateien in Webservern brutal erzwingen.
Dirsearch wird seit kurzem Teil des Beamten Kali Linux Pakete, aber es läuft auch weiter Windows, Linux und macOS. Es ist eingeschrieben Python leicht mit bestehenden Projekten und Skripten kompatibel zu sein.
Es ist auch viel schneller als das herkömmliche DIRB-Tool und enthält viel mehr Funktionen.
- Proxy-Unterstützung
- Multithreading
- User-Agent-Randomisierung
- Unterstützung für mehrere Erweiterungen
- Scanner-Arena
- Verzögerung anfordern
Beim rekursiven Scannen ist Dirsearch der Gewinner. Es wird noch einmal durchsucht und gecrawlt, um nach zusätzlichen Verzeichnissen zu suchen. Neben Geschwindigkeit und Einfachheit bietet es die besten Brute-Force-Räume für jeden pentester.
Callow
Callow ist ein benutzerfreundliches und anpassbares Brute-Force-Tool für die Anmeldung. Geschrieben in Python 3. Es wurde entwickelt, um die Bedürfnisse und Umstände der Neulinge zu erfüllen.
Es wurden flexible Benutzerexperimente zur einfachen Fehlerbehandlung bereitgestellt, insbesondereally für Anfänger leicht zu verstehen und zu verstehen.
SSB
Sicherer Shell Bruteforcer (SSB) ist eines der schnellsten und einfachsten Tools für Brute-Force-SSH-Server.
Durch die Verwendung der sicheren SSB-Shell erhalten Sie eine angemessene Sicherheitate Schnittstelle, im Gegensatz zu den anderen Tools, die das Passwort eines SSH-Servers knacken.
Thc-Hydra
Hydra ist eines der bekanntesten Tools zum Knacken von Logins, das entweder unter Linux oder verwendet wird Windows/Cygwin. Darüber hinaus für Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) und macOS. Es unterstützt viele Protokolle wie AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY und mehr.
Hydra wurde standardmäßig unter Kali Linux installiert und ist sowohl mit Befehlszeilen- als auch mit grafischen Versionen ausgestattet. Es kann eine einzelne oder eine Liste von Benutzernamen / Passwörtern durch die Brute-Forcing-Methode knacken.
Außerdem ist es parallelisiert, das sehr schnelle und flexible Tool, mit dem Sie unbefugte Zugriffsmöglichkeiten auf Ihr System aus der Ferne zelten können.
Einige andere Login-Hacker-Tools werden für dieselbe Funktion verwendet, aber nur Hydra unterstützt viele verschiedene Protokolle und parallelisierte Verbindungen.
Burp Suite
Burp Suite Professional ist ein unverzichtbares Toolkit für Web-Sicherheitstester und verfügt über schnelle und zuverlässige Funktionen. Und es kann auch automatisch erfolgenate monotone Testaufgaben. Darüber hinaus ist es von Experten manuell und halbautomatisch konzipiertated Sicherheitstestfunktionen. Viele Experten verwenden es beim Testen der Top Ten von OWASP Schwachstellen.
Burp bietet viele einzigartige Funktionen, von der Erhöhung der Scanabdeckung bis zur Anpassung an den Dunkelmodus. Es kann funktionsreiche moderne Webanwendungen, JavaScript und Test-APIs testen / scannen.
Es handelt sich um ein Werkzeug, das speziell dafür entwickelt wurdeally zum Testen von Diensten, nicht zum Hacken, wie viele andere. Daher zeichnet es komplexe Authentifizierungssequenzen auf und schreibt Berichte zur direkten Verwendung und Weitergabe durch Endbenutzer.
Es hat auch den Vorteil, dass Out-of-Band-Anwendungssicherheitstests (OAST) durchgeführt werden, die viele unsichtbare Sicherheitslücken erreichen, die andere nicht erreichen können. Darüber hinaus ist es das erste Unternehmen, das von der Verwendung von PortSwigger Research profitiert, mit dem Sie der Kurve einen Schritt voraus sind.
Patator
Patator ist ein Brute-Force-Tool für den vielseitigen und flexiblen Einsatz in einem modularen Aufbau. Es erscheint in Reflexfrustration, wenn einige andere Tools und Skripte zum Abrufen von Passwörtern verwendet werden. Der Patator wählt einen neuen Ansatz, um alte Fehler nicht zu wiederholen.
Patator wurde in Python geschrieben und ist ein Multithread-Tool, das Penetrationstests flexibler und vertrauenswürdiger als Vorfahren durchführen soll. Es unterstützt viele Module, einschließlich der folgenden.
- fTP
- SSH
- MySQL
- SMTP
- Telnet
- DNS
- SMB
- IMAP
- LDAP
- rlogin
- Zip-Dateien
- Java Keystore-Dateien
Pydiktor
Pydiktor ist ein weiteres großartiges leistungsstarkes Tool zum Hacken von Wörterbüchern. Wenn es um Langzeit- und Passwortsicherheitstests geht, kann es sowohl Anfänger als auch Profis in Erstaunen versetzen. Es handelt sich um ein Werkzeug, auf das Angreifer in ihrer Waffenkammer nicht verzichten können. Darüber hinaus verfügt es über zahlreiche Funktionen, mit denen Sie Spaß haben könnenally eine starke Leistung in jeder Testsituation.
- Ständiger Assistent: Ermöglicht Ihnen die Erstellungate eine allgemeine Wortliste, a Social Engineering Wortliste, eine spezielle Wortliste, die den Webinhalt verwendet usw. Außerdem enthält sie einen Filter, mit dem Sie Ihre Wortliste fokussieren können.
- Hochgradig angepasst: Sie können die Wortlistenattribute nach Bedarf anpassen, indem Sie Filter nach Länge, Leet-Modus und weitere Funktionen verwenden.
- Flexibilität und Kompatibilität: Es ist in der Lage, die Konfigurationsdatei zu analysieren und problemlos damit zu arbeiten Windows, Linux oder Mac.
Pydictor Wörterbücher
- Numerisches Wörterbuch
- Alphabet Wörterbuch
- Alphabet-Wörterbuch in Großbuchstaben
- Numerisch gekoppelt mit Großbuchstaben
- Großbuchstaben gekoppelt mit Kleinbuchstaben Alphabet
- Ziffer gekoppelt mit Kleinbuchstaben Alphabet
- Kombinieren von Großbuchstaben, Kleinbuchstaben und Ziffern
- Statischen Kopf hinzufügen
- Manipulieren des Wörterbuchkomplexitätsfilters
Ncrack
Ncrack ist eine Art Netzwerk-Cracking-Tool mit hoher Geschwindigkeit. Es wurde für Unternehmen entwickelt, um ihnen zu helfen, ihre Netzwerkgeräte auf schwache Passwörter zu testen. Viele Sicherheitsexperten empfehlen die Verwendung von Ncrack zur Überprüfung der Sicherheit von Systemnetzwerken. Es wurde als eigenständiges Tool oder als Teil des veröffentlicht Kali Linux.
Durch einen modularen Ansatz und eine dynamische Engine kann Ncrack, das mit einer Befehlszeile entworfen wurde, sein Verhalten an das Netzwerkfeedback anpassen. Und es kann für viele Hosts gleichzeitig eine zuverlässige umfassende Prüfung durchführen.
Die Funktionen von Ncrack beschränken sich nicht nur auf eine flexible Schnittstelle, sondern sichern dem Benutzer auch die vollständige Kontrolle über den Netzwerkbetrieb. Das ermöglicht erstaunliche Raffinesseated brute-forcing attacks, runtime interaction, and timing templates to facilitate die Verwendung, wie z Nmap.
Die unterstützten Protokolle umfassen SSH, RDP, FTP, Telnet, HTTP (S), WordPress, POP3 (S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA und DICOM, die es für eine Vielzahl von Branchen qualifizieren.
Hashcat
Hashcat ist ein Tool zur Passwortwiederherstellung. Es kann unter Linux, OS X usw. funktionieren Windows und unterstützen viele von Hashcat unterstützte Hashcat-Algorithmen wie MD4, MD5, SHA-Familie, LM-Hashes und Unix Crypt-Formate.
Hashcat ist bekannt geworden, da seine Optimierungen teilweise von der Software abhängen, die der Entwickler von Hashcat entdeckt hat.
Hashcat hat zwei Varianten:
- CPU-basiertes Tool zur Kennwortwiederherstellung
- GPU-basiertes Tool zur Kennwortwiederherstellung
Das GPU-Tool kann einige Hashcat-Legacy-Daten in kürzerer Zeit knacken als das CPU-Tool (MD5, SHA1 und andere). Aber nicht jeder Algorithmus kann von GPUs schneller geknackt werden. Hashcat wurde jedoch als der schnellste Passwort-Cracker der Welt beschrieben.
Schlussfolgerung
Nach dieser detaillierten Show haben Sie ein abwechslungsreiches Arsenal an Werkzeugen, zwischen denen Sie wechseln können. Wählen Sie, was für jede Situation und jeden Umstand am besten zu Ihnen passt. Es gibt keinen Grund zu der Annahme, dass es keine Vielfalt an Alternativen gibt. In einigen Fällen sind die einfachsten Werkzeuge die besten und in anderen Fällen das Gegenteil.
Als nächstes erkunden Sie einige der forensische Untersuchungsinstrumente.