geekflare
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
By Zaher talab in La Seguridad  |  Última actualización: 30 de noviembre de 2022
Comparte en:

11 herramientas de ataque de fuerza bruta para pruebas de penetración

administrador de contraseñas android ios
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Para el sistema de TI de su empresa, necesita una prueba concreta que demuestre que su negocio en línea es sólido contra varios tipos de ciberataques, especialmente los ataques de fuerza bruta.

¿Qué es un ataque de fuerza bruta?

¡Un ataque de fuerza bruta es uno de los ciberataques más peligrosos que quizás no tengas ningún truco para enfrentar! Un ataque de fuerza bruta tiene como objetivo el corazón de su sitio web o la seguridad de su dispositivo, la contraseña de inicio de sesión o las claves de cifrado. Utiliza el método continuo de prueba y error para explorarlos de manera decisiva.

Las formas de ataque de fuerza bruta son variadas, principalmente en:

  • Ataques híbridos de fuerza bruta: intentar o enviar miles de palabras esperadas y del diccionario, o incluso palabras aleatorias.
  • Ataques de fuerza bruta inversa: intentar obtener la clave de derivación de la contraseña mediante una investigación exhaustiva.

¿Por qué necesitamos herramientas de prueba de penetración?

Los atacantes de fuerza bruta utilizan varias herramientas para lograr este objetivo. Puede utilizar estas herramientas de ataque de fuerza bruta para Penetración. Esta prueba también se llama "pentesting" o "prueba de penetración".

La prueba de penetración es la práctica de intentar piratear sus propios sistemas de TI utilizando las mismas formas en que lo hacen los piratas informáticos. Esto le permite identificar cualquier agujero de seguridad.

Nota:: las siguientes herramientas pueden generar muchas solicitudes que debe realizar solo en el entorno de su aplicación.

Gobuster

Gobuster es una de las herramientas de fuerza bruta más potentes y rápidas que no necesita tiempo de ejecución. Utiliza un escáner de directorio programado por Ir idioma; es más rápido y más flexible que el guión interpretado.

Caracteristicas

  • Gobuster también es conocido por su increíble soporte para la concurrencia, que le permite manejar múltiples tareas y extensiones, manteniendo su velocidad de procesamiento.
  • Una herramienta liviana sin la GUI de Java funciona solo en la línea de comandos en muchas plataformas.
  • Ayuda incorporada

Modos

  • dir - el modo de directorio clásico
  • dns - modo subdominio DNS
  • s3: enumere los depósitos de S3 abiertos y busque listas de existencia y de depósitos
  • vhost - modo de host virtual

Sin embargo, sufre de una falla, la deficiencia de búsqueda de directorios recursiva, lo que reduce su efectividad para directorios de niveles múltiples.

BruteX

BrutoX es una gran herramienta todo en uno basada en shell de fuerza bruta y de código abierto para todas sus necesidades para alcanzar el objetivo.

  • Puertos abiertos
  • Nombres de usuario
  • contraseñas

Utiliza el poder de enviar una gran cantidad de posibles contraseñas de forma sistemática.

Incluye muchos servicios que se obtuvieron de algunas otras herramientas, como Nmap, Hydra & DNS enum. Esto le permite buscar puertos abiertos, inicie FTP de fuerza bruta, SSH y determine automáticamente el servicio en ejecución del servidor de destino.

Dirsearch

búsqueda es una herramienta avanzada de fuerza bruta basada en una línea de comandos. Es un escáner de rutas web AKA y puede hacer fuerza bruta en directorios y archivos en servidores web.

Dirsearch se convierte recientemente en parte de la oficial Kali Linux paquetes, pero también se ejecuta en Windows, Linux y macOS. Esta escrito en Python para ser fácilmente compatible con proyectos y scripts existentes.

También es mucho más rápido que la herramienta DIRB tradicional y contiene muchas más funciones.

  • Soporte Proxy
  • multihilo
  • Aleatorización de agente de usuario
  • Soporte para múltiples extensiones
  • Arena del escáner
  • Solicitar retrasar

Para el escaneo recursivo, Dirsearch es el ganador. Está retrocediendo y rastreando, buscando directorios adicionales. Junto con la velocidad y la simplicidad, proviene de las mejores salas de fuerza bruta para cada pentester.

Callow

Inexperto es una herramienta de fuerza bruta de inicio de sesión fácil de usar y personalizable. Escrito en Python 3. Está diseñado para satisfacer las necesidades y circunstancias de los novatos.

Se han proporcionado experimentos de usuario flexibles para un fácil manejo de errores, especialmente para que los principiantes los comprendan e intuyan fácilmente.

SSB

Fuerza bruta de caparazón seguro (SSB) es una de las herramientas más rápidas y sencillas para servidores SSH de fuerza bruta.

El uso del shell seguro de SSB le brinda una interfaz adecuada, a diferencia de otras herramientas que descifran la contraseña de un servidor SSH.

Thc-Hydra

Hydra es una de las herramientas más famosas para descifrar el inicio de sesión que se utiliza en Linux o Windows / Cygwin. Además, para Solaris, FreeBSD / OpenBSD, QNX (Blackberry 10) y macOS. Admite muchos protocolos como AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY y más.

Instalado de forma predeterminada en Kali Linux, Hydra se diseñó con versiones gráficas y de línea de comandos. Puede descifrar uno o una lista de nombres de usuario / contraseñas mediante el método de fuerza bruta.

Además, está en paralelo, la herramienta muy rápida y flexible que le permite proteger la posibilidad de acceso no autorizado a su sistema de forma remota.

Algunas otras herramientas de piratas informáticos de inicio de sesión se utilizan para la misma función, pero solo Hydra admite muchos protocolos diferentes y conexiones paralelizadas.

Burp Suite

Video de Youtube

Profesional de Burp Suite es un conjunto de herramientas esencial para los probadores de seguridad web y viene con funciones rápidas y confiables. Y también, puede automatizar tareas de prueba monótonas. Además, está diseñado por las funciones de prueba de seguridad manuales y semiautomatizadas de los expertos. Muchos expertos lo utilizan para probar los diez mejores de OWASP vulnerabilidades.

Burp ofrece muchas características únicas, desde aumentar la cobertura de escaneo hasta personalizarlo hasta el modo oscuro. Puede probar / escanear aplicaciones web modernas ricas en funciones, JavaScript, API de prueba.

Es una herramienta diseñada realmente para probar servicios, no para piratear, como muchos otros. Por lo tanto, registra secuencias de autenticación complejas y escribe informes para que los usuarios finales los utilicen directamente y los compartan.

También tiene la ventaja de realizar pruebas de seguridad de aplicaciones fuera de banda (OAST) que alcanzan muchas vulnerabilidades invisibles que otros no pueden. Además, es el primero en beneficiarse del uso de PortSwigger Research, que lo coloca a la vanguardia.

Patator

patador es una herramienta de fuerza bruta para usos múltiples y flexible dentro de un diseño modular. Aparece como reflejo de frustración al usar otras herramientas y scripts de ataques de obtención de contraseñas. Patator elige un nuevo enfoque para no repetir viejos errores.

Escrito en Python, Patator es una herramienta de múltiples subprocesos que desea realizar pruebas de penetración de una manera más flexible y confiable que los antepasados. Admite muchos módulos, incluidos los siguientes.

  • FTP
  • SSH
  • MySQL
  • SMTP
  • Telnet
  • DNS
  • PYME
  • IMAP
  • LDAP
  • iniciar sesión
  • Archivos zip
  • Archivos de almacén de claves de Java

Pydictor

Pydictor es otra gran herramienta poderosa para piratear diccionarios. Cuando se trata de pruebas largas y de seguridad de contraseñas, puede sorprender tanto a los principiantes como a los profesionales. Es una herramienta que los atacantes no pueden distribuir en su arsenal. Además, tiene un exceso de funciones que le permiten disfrutar de un rendimiento realmente sólido en cualquier situación de prueba.

  • Asistente permanente: le permite crear una lista de palabras general, una ingeniería social lista de palabras, una lista de palabras especial que utiliza el contenido web, etc. Además, contiene un filtro para ayudar a enfocar su lista de palabras.
  • Altamente personalizado: puede personalizar los atributos de la lista de palabras según sus necesidades mediante el uso de filtros por longitud, modo de lectura y más funciones.
  • Flexibilidad y compatibilidad: puede analizar el archivo de configuración, con la capacidad de funcionar sin problemas en Windows, Linux o Mac.

Diccionarios Pydictor

  • Diccionario numérico
  • Diccionario alfabético
  • Diccionario alfabético en mayúsculas
  • Numérico junto con el alfabeto en mayúsculas
  • Mayúsculas junto con letras minúsculas
  • Numeral junto con el alfabeto en minúsculas
  • Combinando mayúsculas, minúsculas y números
  • Adición de cabeza estática
  • Manipulación del filtro de complejidad del diccionario

Ncrack

ncrack es una especie de herramienta de descifrado de redes con un rendimiento de alta velocidad. Está diseñado para que las empresas las ayuden a probar sus dispositivos de red en busca de contraseñas débiles. Muchos profesionales de la seguridad recomiendan utilizar Ncrack para auditar la seguridad de las redes del sistema. Fue lanzado como una herramienta independiente o como parte de la Kali Linux.

Mediante un enfoque modular y un motor dinámico, Ncrack diseñado con una línea de comandos puede ajustar su comportamiento de acuerdo con la retroalimentación de la red. Y puede realizar auditorías amplias confiables para muchos hosts al mismo tiempo.

Las características de Ncrack no se limitan a una interfaz flexible, sino que aseguran el control total de las operaciones de red para el usuario. Eso permite increíbles y sofisticados ataques de fuerza bruta, interacción en tiempo de ejecución y plantillas de tiempo para facilitar el uso, como Nmap.

Los protocolos admitidos incluyen SSH, RDP, FTP, Telnet, HTTP (S), WordPress, POP3 (S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA y DICOM, que lo califica para una amplia gama de industrias.

Hashcat

Hashcat es una herramienta de recuperación de contraseña. Puede funcionar en Linux, OS X y Windows y es compatible con muchos algoritmos Hashcat compatibles con hashcat, como MD4, MD5, familia SHA, hashes LM y formatos Unix Crypt.

Hashcat se ha hecho conocido debido a que sus optimizaciones dependen en parte del software que ha descubierto el creador de Hashcat.

Hashcat tiene dos variantes:

  • Herramienta de recuperación de contraseña basada en CPU
  • Herramienta de recuperación de contraseña basada en GPU

La herramienta GPU puede descifrar algunos hashcat-legacy en menos tiempo que la herramienta CPU (MD5, SHA1 y otras). Pero las GPU no pueden descifrar todos los algoritmos más rápido. Sin embargo, Hashcat había sido descrito como el descifrador de contraseñas más rápido del mundo.

Conclusión

Después de este espectáculo detallado, tiene un variado arsenal de herramientas para reemplazar. Elige lo que más te convenga para cada situación y circunstancia a la que te enfrentas. No hay razón para creer que no hay diversidad de alternativas. En algunos casos, las herramientas más simples son las mejores, y en otros casos, lo contrario.

A continuación, explore algunos de los herramientas de investigación forense.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • invicti
    Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Datos brillantes
    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush
    Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder