U.T.

2 - Actividad 7 - Fuerza Bruta

Monta un servidor FTP en ubuntu y prueba con fuerza bruta a descubrir la contrasea. Para
ello realiza la simulacin de la siguiente manera:
1. Monta en Ubuntu un servidor FTP. Sigue para ello el siguiente tutorial. No tienes que
hacer todo lo que dice el tutorial. Slo lo necesario para montar el servicio FTP y crear
un usuario con su contrasea.

Instalamos ftp
Ahora configuramos el archivo de ftp. Anonymous lo ponemos en no, y los usuarios en
local lo ponemos en Yes para que puedan acceder. Guardamos

Despus de modificar el archivo, reseteamos

Ahora creamos un usuario y su password

Ahora vamos a conectarnos y probar que se conecta.

Le hemos puesto la ip local 192.168.1.20
Como vemos, introduciendo el usuario y el pass que creamos, entramos sin problema.

2. Busca en INTERNET un fichero de contraseas

http://contest-2010.korelogic.com/wordlists.html
3. Utiliza hydra para realizar un ataque por fuerza bruta para descubrir la contrasea.
Instalamos hydra

Descargamos un diccionario como el del enlace anterior.

En el Shell vamos al directorio donde hemos guardado el archivo de diccionario.
A continuacin introducimos la siguiente serie de comandos para ejecutar la fuerza
bruta: hydra -l user -P diccionario.txt -vV 192.168.1.20 ftp donde:

-l Es el nombre de usuario, si se usa en mayscula (-L) se puede poner un diccionario

(*.txt) con usuarios (muy prctico cuando no se sabe el usuario) [-l admin] [-L
admin.txt].

-p Se pone el password, si se usa en mayscula (-P) se puede poner un diccionario de

passwords (es lo ms lgico usar esta opcin) [-p password] [-P diccionario.txt].

-v Es el verbose mode que imprime en pantalla los intentos de usarios-password, si se

usa con mayscula (-V) Hydra nos dar ms detalles del proceso de crackeo [-v] [-vV].

192.168.1.10 Esto se remplaza por el IP de nuestro objetivo [IP/host].

ftp El protocolo al cual se ataca, puede ser todos los mensionados arriba (ftp, telnet,
pop3, snmp, etc...) [protocolo].
Y pulsamos intro.
A continuacin comenzar a buscar la password

Inconvenientes de usar fuerza bruta.

Hay que descubrir tambin el usuario. Es ms fcil teniendo una lista de

usuarios.

Hay diccionarios de muchos tipos, palabras de informtica, msica, deportes,

materias educativas (fsica, qumica, matemticas, literatura, etc), hay
diccionarios en diferentes idiomas, etc..
El tiempo que se demora en encontrar el password
Hay servidores que tienen un conteo de intentos. Al tercero se bloquean.

Criterios de calificacin:
o

20% si encuentras un fichero de contraseas en INTERNET. Debes indicar la URL.

10% si adems de realizar el ataque localmente lo haces a travs de la red.

20% si haces un listado de inconvenientes de utilizar el ataque por fuerza bruta.

50% si subes un pantallazo que demuestre que has encontrado la contrasea.