【Webのログイン認証の突破方法!】不正ログインの恐怖… hydraを使ったパスワードクラッキングの基本と攻撃手法解説! ハッキング・ラボ完全版でも使用されるツール! No.117
今回は、脆弱性診断ツールかつハッキングツールの「hydra」を解説します。
hydraは、オンライン・パスワードクラッキングツールであり、
主にWebサイトのログイン認証をクラッキングする事が出来ます。
ユーザー名とパスワードの総当たり攻撃などで、ログインされないかを確認する事が出来ます。
GobusterやDirbusterを使った後、ログイン画面を見つけた後にハッキングされないか確認する事が出来ます。
hydraでハッキングされなければ、強固なセキュリティになっていると思われます。
うぷ主の経験上、ハッキング大会でも使う事があるツールであり、
セキュリティの勉強やハッキングを学ぶ上で、覚えて損はないツールと思います。
また、IPUSIRONさんの新刊「ハッキング・ラボ完全版」でも使用する場面が多いツールになります。
動画制作にあたり、ハッカー書籍ではレジェンド的存在の「IPUSIRON」さんが書かれました、
『ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習』を参考に動画制作しております。
注:動画制作にあたり、IPUSIRONさんご本人の許可を得ております。
<hydraの特徴>
・ブルートフォース攻撃
様々なプロトコル(SSH、FTP、HTTP、TELNETなど)に対して、
ブルートフォース攻撃を行い、正しいパスワードを見つけようとします。
・マルチプロトコル対応
多くの異なるプロトコルに対応しており、
SSH、FTP、HTTP、TELNET、SMTPなどのさまざまなサービスに対して
ブルートフォース攻撃を実行できます。
・マルチスレッドサポート
マルチスレッド処理をサポートしており、複数の接続を同時に処理することができます。
これにより、攻撃速度が向上し、より効率的にパスワードを試行できます。
・カスタマイズ可能な攻撃方法
使用する辞書ファイルやパスワード生成方法をカスタマイズできます。
これにより、特定の攻撃シナリオに適した攻撃パターンを選択できます。
・ログインベースド攻撃のサポート
ログインベースの攻撃方法に対応しています。
これにより、特定のユーザー名とパスワードの組み合わせに対してのみ攻撃を行うことができます。
・リモートホストの対応
リモートホストへの攻撃をサポートしています。
これにより、ネットワーク内のリモートサービスに対して攻撃を行うことができます。
▼重要な注意事項
動画の内容を実施する場合、法的および倫理的な側面に留意し、
合法的なネットワーク許可を得た場合にのみ使用するようにしてください。
セキュリティツールは適切に使用されるべきであり、
不正アクセスや不正行為には使用してはいけません。
セキュリティテストは合法的で倫理的な方法で行うべきです。
【目次】
00:00 オープニング
00:59 hydraとは?
02:06 ツールの概要
03:36 辞書攻撃とブルートフォース攻撃
05:24 複数のプロトコルをサポート
06:08 hydraの使い方!
06:59 使うべき画面!
07:56 今回のハッキング環境
08:20 事前準備
10:41 hydraを使ってみよう!
11:50 ログイン情報の解析に成功!
12:38 ログイン情報でログイン出来るか試してみた!
13:37 まとめ
15:30 エンディング
▼過去の関連動画
【パスワードを解析する様々な方法!】Hashcatによる様々な攻撃パターン! GPUはパスワード解析が速い… ゆっくりパスワード解析 No.091
https://www.youtube.com/watch?v=GqKusRQhxR0
【パスワード解析】Hashcatとは? パスワードを解析する方法! ゆっくりパスワード解析 No.089
https://www.youtube.com/watch?v=9ZvdUUae0kQ
【パスワードは大丈夫!?】John the Ripperの恐怖! 安易なパスワードの危険性… 暗号化パスワード解析方法を伝授! ゆっくり解説ハッシュ値解析ツール No.100
https://youtu.be/IkLnZjWuU4M
【Webサイトの裏側の覗き方】dirbでWebサイトをハッキング出来そうなファイルやディレクトリを探す方法!Webサイトの設計や管理のミスを暴くDirbusterとは? No.101
https://youtu.be/7EMC8K9_UwE
▼動画で紹介したコマンド
nmap -p80 –script http-wordpress-users 192.168.56.104
cewl -w /home/parrot/Desktop/cewl.txt dc-2
hydra -L /home/parrot/Desktop/users.txt -P /home/parrot/Desktop/cewl.txt dc-2 http-form-post ‘/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location’
▼hydra公式サイト
https://hydra.cc/docs/intro/
Windows版のインストーラー
https://github.com/maaaaz/thc-hydra-windows
▼参考サイト
https://whitemarkn.com/learning-ethical-hacker/hydra/
https://latte-life.net/white-hacker/
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_legal_09.html
nmap
https://nmap.org/nsedoc/scripts/http-wordpress-users.html
cewl
https://whitemarkn.com/learning-ethical-hacker/cewl/
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
▼書籍の購入はコチラ!
『ハッキング・ラボのつくりかた 完全版 仮想環境におけるハッカー体験学習』は、下記のリンクより購入出来ます。
当チャンネルの視聴者の皆様なら、購入しても損はない書籍と思います。
▼ハッキング・ラボのつくりかた 完全版(2024年2月20日発売の新刊!!)
⇒新刊では、『Parrot OS』でのハッキング環境構築になります。
・Amazon(紙 or Kindle版)
https://www.amazon.co.jp/dp/4798174572/
・翔泳社の公式通販SEshop
こちらは紙 or PDF版が購入出来ます。
初回であれば500円分のポイントと、紙とPDF版をセットで買うと15%分のポイントが貰えます。
https://www.seshop.com/product/detail/26055
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
▼IPUSIRONさんのX(Twitter)
https://twitter.com/ipusiron
▼IPUSIRONさんのサイト Security Akademeia【セキュリティアカデメイア】
https://akademeia.info/
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
★公式ブログ
https://yukuri-it-channel.com/
★当チャンネルのSNSアカウント
不審なアカウントでなければ、基本的にフォローバック致します。
また、プロフィール設定が初期設定 or 鍵垢は、スパム被害防止のため、フォローバックは致しません。
X(Twitter)
https://twitter.com/yukuri_it
Instagram
https://www.instagram.com/yukuri_it_channel/
threads
http://threads.net/@yukuri_it_channel
★お問い合わせ
info@yukuri-it-channel.com
▼クレジット
・使用BGM
冒頭:Morning フリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL
本編:Good Morning Sunshine フリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL
終盤:NEFFEX Believe Instrumental
エンディング:春よ強く美しく フリーBGM DOVASYNDROME OFFICIAL YouTube CHANNEL
・使用素材
YouTuberのための素材屋さん
https://ytsozaiyasan.com/
動画制作の背景
動画でも語っているけど、パスワードクラッキングツールのHashcat、John the Ripper、hydraは、
当チャンネルで全て解説したかったのよね~。
今回、動画で使ったCeWLツールも、辞書ファイルを生成できるので後ほど解説したく思ってます。
