SlideShare uma empresa Scribd logo

Online Brute Force: Conceitos e Ferramentas

F
fabio154906

O documento discute ataques de força bruta online, incluindo conceitos, alvos, ferramentas como Hydra, Medusa e Patator, uso de wordlists customizadas com MZTG e um exemplo de uso do Patator para quebrar uma senha de arquivo compactado.

Tecnologia
1 de 11
Baixar para ler offline
www.eSecurity.com.br O que temos para hoje? Menu do dia:  Online Brute Force:  Conceitos  Alvos  Ferramentas  Wordlist com MZTG  Patator  Conceito  Exemplo
Online Brute Force www.eSecurity.com.br
O ataque de Brute Force na modalidade Online é o mais difícil de ser aplicado, não pelo fator técnico, mas, pela limitação de infraestrutura. Diferente dos ataques off-line, que realizamos milhões de tentativas por segundo, na modalidade online as tentativas caem para, em média, uma por segundo, isso quando não há proteções que dificultam ainda mais esse processo. Existem casos que pode-se apenas testar uma senha por minuto. A explicação para isso é fácil. Quando realizamos testes online, geramos log, ou seja, nossos testes se tornam barulhentos aos firewalls, IDSs ou até mesmo ao Sistema Operacional. Para um processo de Pentest, quanto mais sorrateiro forem os testes, melhor. www.eSecurity.com.br Online Brute Force: Conceito
Depois de se esgotarem as tentativas de se conseguir a senha e tentar faze-la off- line, temos então que partir para o ataque online. Quanto lidamos com uma página web, podemos tentar conseguir a senha através de exploração de falhas. Quando não a encontramos, temos que apelar para o ataque online. Não temos apenas servidores web para realizar os testes, temos qualquer dispositivo conectado a uma rede e que requeira de autenticação. Em um Pentest, temos que realizar varreduras para que detectemos quem serão nossos alvos e as vezes, esses alvos não são muito claros; como por exemplo, o serviço ssh com a porta alterada. www.eSecurity.com.br Online Brute Force: Alvos
Existem diversas ferramentas que podemos utilizar para realizar os testes de senhas durante o processo de um Pentest. São elas: • Hydra • Medusa • Patator • Burpsuite • entre outros ... www.eSecurity.com.br Online Brute Force: Ferramentas
MZTG é um aplicativo multiplataforma desenvolvido para gerar wordlists de forma inteligente. Através de combinações entre wordlists, dados previamente imputados e sequência de caracteres é possível criar wordlists mais eficazes. As wordlists customizadas aumentam em 80% a eficaz de uma auditoria de senhas. Você pode baixar a ferramenta no site oficial do MZTG (www.mztg.org). www.eSecurity.com.br Online Brute Force: WL com MZTG
www.eSecurity.com.br Patator
Patator é uma ferramenta desenvolvida em python que tem como objetivo realizar teste de bute-force nos mais diferentes tipos de protocolos e tecnologias Algumas Características: • Sem falsos negativos, como é o usuário que decide o que resulta ignorar baseado em: • o código de estado da resposta • tamanho de resposta • string ou regex correspondência em dados de resposta • Design modular • Mostra o progresso detalhado • Sistema de Pause / Resume • Aumenta e diminui a Verbosidade • Adiciona novas ações e condições durante o tempo de execução • Utiliza conexões persistentes (ex. Testará várias senhas até que se desligue o servidor) • Multi-threaded www.eSecurity.com.br Patator
A usabilidade do Patator é parecida com o Hydra e Medusa, porém, com pequenas características diferenciadas. É possível utiliza-lo para quebra de senhas online e também off-line. Vamos neste exemplo tentar quebrar um arquivo compactado e com senha. patator unzip_pass zipfile=mensagem.zip password=FILE0 0=pass.txt -x ignore:code!=0 Patator – Aplicação de recuperação de senha Unzip_pass – Módulo utilizado Zipfile – Caminho do arquivo compactado Password – Tipo de Autenticação FILE0 – Arquivo 0, podem ser utilizados mais do que um arquivo, exemplo: FILE2. 0 – É o arquivo setado. No caso acima, onde podemos setar o FILE2, podemos usar a opção 0=arquivo0.txt 1=arquivo1.txt e 2=arquivo2.txt -x – Mensagem de retorno, onde podemos filtrar o que queremos ver. www.eSecurity.com.br Patator: Exemplo
E-mail: alan.sanches@esecurity.com.br Twitter: @esecuritybr e @desafiohacker Skype: desafiohacker Fanpage: www.facebook.com/academiahacker Chega por hoje www.eSecurity.com.br www.eSecurity.com.br

Recomendados

Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 
Importância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoImportância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoMarcos Flávio Araújo Assunção
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)Bruno Camara
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
Android DevConference - Automatizando testes sem sofrimento
Android DevConference - Automatizando testes sem sofrimentoAndroid DevConference - Automatizando testes sem sofrimento
Android DevConference - Automatizando testes sem sofrimentoiMasters
 
Tech g-buster
Tech g-busterTech g-buster
Tech g-busterCarlos Goldani
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesAlisson Fuckner
 

Recomendados

Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 
Importância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoImportância do profissional Hacker ético no mercado de trabalho
Importância do profissional Hacker ético no mercado de trabalhoMarcos Flávio Araújo Assunção
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)
As Falácias e os Desenganos no Desenvolvimento de Software (TechDays 2005)Bruno Camara
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
Android DevConference - Automatizando testes sem sofrimento
Android DevConference - Automatizando testes sem sofrimentoAndroid DevConference - Automatizando testes sem sofrimento
Android DevConference - Automatizando testes sem sofrimentoiMasters
 
Tech g-buster
Tech g-busterTech g-buster
Tech g-busterCarlos Goldani
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesAlisson Fuckner
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
 
Ideais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriverIdeais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriverStefan Teixeira
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Renato Groff
 
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...minastestingconference
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Felipe Santos
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 
Criptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores InstantâneosCriptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores InstantâneosRaphael Queiroz
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPFlavio Souza
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teóricoFelipe Perin
 
IT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: FinalIT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: FinalClayton K. N. Passos
 
Criando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NETCriando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NETThiago Barradas
 
Internet, intranet, extranet
Internet, intranet, extranetInternet, intranet, extranet
Internet, intranet, extranetPricila Yessayan
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
AIML Reforçando a segurança virtual
AIML Reforçando a segurança virtualAIML Reforçando a segurança virtual
AIML Reforçando a segurança virtualAmazon Web Services LATAM
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaMarcelo Machado Pereira
 
Desenvolvimento web com python e django
Desenvolvimento web com python e djangoDesenvolvimento web com python e django
Desenvolvimento web com python e djangoIgor Sobreira
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteUilson Souza
 

Mais conteúdo relacionado

Semelhante a Online Brute Force: Conceitos e Ferramentas

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Renato Groff
 
Ideais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriverIdeais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriverStefan Teixeira
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Renato Groff
 
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...minastestingconference
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Felipe Santos
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Criptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores InstantâneosCriptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores InstantâneosRaphael Queiroz
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPFlavio Souza
 
IT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: FinalIT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: FinalClayton K. N. Passos
 
Criando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NETCriando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NETThiago Barradas
 
Internet, intranet, extranet
Internet, intranet, extranetInternet, intranet, extranet
Internet, intranet, extranetPricila Yessayan
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Antonio Carlos Scola - MSc
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaMarcelo Machado Pereira
 
Desenvolvimento web com python e django
Desenvolvimento web com python e djangoDesenvolvimento web com python e django
Desenvolvimento web com python e djangoIgor Sobreira
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteUilson Souza
 

Semelhante a Online Brute Force: Conceitos e Ferramentas (20)

Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
Acesso a Dados em .NET: Boas práticas de Segurança - .NET SP - Setembro/2017
 
Ideais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriverIdeais Cowabunga - Headless Testing com GhostDriver
Ideais Cowabunga - Headless Testing com GhostDriver
 
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
Acesso a Dados em .NET: Boas práticas de Segurança - Agosto/2017
 
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
[MTC 2021] As 8 melhores práticas e formas de simplificar e estruturar todos...
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3Conceitos BáSicos Sobre SegurançA Parte 3
Conceitos BáSicos Sobre SegurançA Parte 3
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Criptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores InstantâneosCriptografia P2P - Comunicadores Instantâneos
Criptografia P2P - Comunicadores Instantâneos
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
IT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: FinalIT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
IT Talks - Testes Automatizados - Porque você deve ter? Versão: Final
 
Criando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NETCriando componentes e disponibilizando o como opensource em 5 minutos em .NET
Criando componentes e disponibilizando o como opensource em 5 minutos em .NET
 
Internet, intranet, extranet
Internet, intranet, extranetInternet, intranet, extranet
Internet, intranet, extranet
 
Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016Sunlit technologies portfolio produtos & serviços agosto2016
Sunlit technologies portfolio produtos & serviços agosto2016
 
AIML Reforçando a segurança virtual
AIML Reforçando a segurança virtualAIML Reforçando a segurança virtual
AIML Reforçando a segurança virtual
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
 
Desenvolvimento web com python e django
Desenvolvimento web com python e djangoDesenvolvimento web com python e django
Desenvolvimento web com python e django
 
Forefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamenteForefront TMG - Planejando corretamente
Forefront TMG - Planejando corretamente
 

Online Brute Force: Conceitos e Ferramentas

  • 1.
  • 2. www.eSecurity.com.br O que temos para hoje? Menu do dia:  Online Brute Force:  Conceitos  Alvos  Ferramentas  Wordlist com MZTG  Patator  Conceito  Exemplo
  • 4. O ataque de Brute Force na modalidade Online é o mais difícil de ser aplicado, não pelo fator técnico, mas, pela limitação de infraestrutura. Diferente dos ataques off-line, que realizamos milhões de tentativas por segundo, na modalidade online as tentativas caem para, em média, uma por segundo, isso quando não há proteções que dificultam ainda mais esse processo. Existem casos que pode-se apenas testar uma senha por minuto. A explicação para isso é fácil. Quando realizamos testes online, geramos log, ou seja, nossos testes se tornam barulhentos aos firewalls, IDSs ou até mesmo ao Sistema Operacional. Para um processo de Pentest, quanto mais sorrateiro forem os testes, melhor. www.eSecurity.com.br Online Brute Force: Conceito
  • 5. Depois de se esgotarem as tentativas de se conseguir a senha e tentar faze-la off- line, temos então que partir para o ataque online. Quanto lidamos com uma página web, podemos tentar conseguir a senha através de exploração de falhas. Quando não a encontramos, temos que apelar para o ataque online. Não temos apenas servidores web para realizar os testes, temos qualquer dispositivo conectado a uma rede e que requeira de autenticação. Em um Pentest, temos que realizar varreduras para que detectemos quem serão nossos alvos e as vezes, esses alvos não são muito claros; como por exemplo, o serviço ssh com a porta alterada. www.eSecurity.com.br Online Brute Force: Alvos
  • 6. Existem diversas ferramentas que podemos utilizar para realizar os testes de senhas durante o processo de um Pentest. São elas: • Hydra • Medusa • Patator • Burpsuite • entre outros ... www.eSecurity.com.br Online Brute Force: Ferramentas
  • 7. MZTG é um aplicativo multiplataforma desenvolvido para gerar wordlists de forma inteligente. Através de combinações entre wordlists, dados previamente imputados e sequência de caracteres é possível criar wordlists mais eficazes. As wordlists customizadas aumentam em 80% a eficaz de uma auditoria de senhas. Você pode baixar a ferramenta no site oficial do MZTG (www.mztg.org). www.eSecurity.com.br Online Brute Force: WL com MZTG
  • 9. Patator é uma ferramenta desenvolvida em python que tem como objetivo realizar teste de bute-force nos mais diferentes tipos de protocolos e tecnologias Algumas Características: • Sem falsos negativos, como é o usuário que decide o que resulta ignorar baseado em: • o código de estado da resposta • tamanho de resposta • string ou regex correspondência em dados de resposta • Design modular • Mostra o progresso detalhado • Sistema de Pause / Resume • Aumenta e diminui a Verbosidade • Adiciona novas ações e condições durante o tempo de execução • Utiliza conexões persistentes (ex. Testará várias senhas até que se desligue o servidor) • Multi-threaded www.eSecurity.com.br Patator
  • 10. A usabilidade do Patator é parecida com o Hydra e Medusa, porém, com pequenas características diferenciadas. É possível utiliza-lo para quebra de senhas online e também off-line. Vamos neste exemplo tentar quebrar um arquivo compactado e com senha. patator unzip_pass zipfile=mensagem.zip password=FILE0 0=pass.txt -x ignore:code!=0 Patator – Aplicação de recuperação de senha Unzip_pass – Módulo utilizado Zipfile – Caminho do arquivo compactado Password – Tipo de Autenticação FILE0 – Arquivo 0, podem ser utilizados mais do que um arquivo, exemplo: FILE2. 0 – É o arquivo setado. No caso acima, onde podemos setar o FILE2, podemos usar a opção 0=arquivo0.txt 1=arquivo1.txt e 2=arquivo2.txt -x – Mensagem de retorno, onde podemos filtrar o que queremos ver. www.eSecurity.com.br Patator: Exemplo
  • 11. E-mail: alan.sanches@esecurity.com.br Twitter: @esecuritybr e @desafiohacker Skype: desafiohacker Fanpage: www.facebook.com/academiahacker Chega por hoje www.eSecurity.com.br www.eSecurity.com.br