11 Alat Serangan Brute-force untuk Uji Penetrasi

Untuk sistem TI perusahaan Anda, Anda memerlukan bukti nyata untuk menunjukkan bahwa bisnis online Anda kuat terhadap berbagai jenis serangan cyber, terutama serangan brute force.

Apa itu Serangan Brute Force?

Serangan brute force adalah salah satu serangan siber paling berbahaya yang mungkin tidak bisa Anda hadapi! Serangan brute force bertujuan di jantung situs web Anda atau keamanan perangkat Anda, kata sandi masuk, atau kunci enkripsi. Ia menggunakan metode trial-and-error terus menerus untuk mengeksplorasi mereka secara meyakinkan.

Cara serangan brute force bervariasi, terutama menjadi:

• Serangan brute force hybrid: mencoba atau mengirimkan ribuan kata yang diharapkan dan kamus, atau bahkan kata acak.
• Serangan brute-force terbalik: mencoba mendapatkan kunci derivasi kata sandi menggunakan penelitian lengkap.

Mengapa kita membutuhkan alat pengujian penetrasi?

Penyerang brute force menggunakan berbagai alat untuk mencapai tujuan ini. Anda dapat menggunakan alat penyerang brute force ini sendiri untuk Penetrasi. Pengujian ini juga disebut “pentesting” atau “pen testing”.

Uji penetrasi adalah praktik mencoba meretas sistem TI Anda sendiri menggunakan cara yang sama seperti yang dilakukan peretas. Ini membuat Anda dapat mengidentifikasi lubang keamanan apa pun.

Catatan : alat berikut dapat menghasilkan banyak permintaan yang harus Anda lakukan hanya terhadap lingkungan aplikasi Anda.

gobuster

Gobuster adalah salah satu alat brute force paling kuat dan cepat yang tidak memerlukan runtime. Ini menggunakan pemindai direktori yang diprogram oleh bahasa Go; itu lebih cepat dan lebih fleksibel daripada skrip yang ditafsirkan.

Fitur

• Gobuster juga dikenal karena dukungannya yang luar biasa untuk konkurensi, yang memungkinkannya menangani banyak tugas dan ekstensi, menjaga kecepatan pemrosesannya.
• Alat ringan tanpa Java GUI hanya berfungsi pada baris perintah di banyak platform.
• Bantuan bawaan

Mode

• dir – mode direktori klasik
• dns – mode subdomain DNS
• s3 – Hitung ember S3 terbuka dan cari keberadaan dan daftar ember
• vhost – mode host virtual

Namun, ia menderita satu kesalahan, buruknya pencarian direktori rekursif, yang mengurangi keefektifannya untuk beberapa direktori tingkat.

BruteX

BruteX adalah alat berbasis shell brute force all-in-one yang hebat, dan open-source untuk semua kebutuhan Anda untuk mencapai target.

• Buka port
• Nama pengguna
• kata sandi

Menggunakan kekuatan mengirimkan sejumlah besar kemungkinan kata sandi dengan cara yang sistematis.

Ini mencakup banyak layanan yang dikumpulkan dari beberapa alat lain seperti Nmap, Hydra & DNS enum. Ini memungkinkan Anda untuk memindai port yang terbuka, memulai brute force FTP, SSH, dan secara otomatis menentukan layanan yang berjalan dari server target.

Dirsearch

Dirsearch adalah alat brute force canggih berdasarkan baris perintah. Ini adalah pemindai jalur web AKA dan dapat memaksa direktori dan file di server web.

Dirsearch baru-baru ini menjadi bagian dari paket Kali Linux resmi, tetapi juga berjalan di Windows, Linux, dan macOS. Itu ditulis dengan Python agar mudah kompatibel dengan proyek dan skrip yang ada.

Ini juga jauh lebih cepat daripada alat DIRB tradisional dan berisi lebih banyak fitur.

• Dukungan proxy
• Multithreading
• Pengacakan agen-pengguna
• Dukungan untuk beberapa ekstensi
• Arena pemindai
• Permintaan tunda

Untuk pemindaian rekursif, Dirsearch adalah pemenangnya. Ini akan kembali melalui dan merangkak, mencari direktori tambahan. Di samping kecepatan dan kesederhanaan, itu dari kamar Brute-force terbaik untuk setiap pentester.

Muda

Callow adalah alat brute-force login yang mudah digunakan dan dapat disesuaikan. Ditulis dalam python 3. Ini dirancang untuk memenuhi kebutuhan dan keadaan pemula.

Telah disediakan eksperimen pengguna yang fleksibel untuk penanganan kesalahan yang mudah, terutama bagi pemula untuk memahami dan intuisi dengan mudah.

SSB

Secure Shell Bruteforcer (SSB) adalah salah satu alat tercepat dan paling sederhana untuk server SSH brute-force.

Menggunakan shell aman SSB memberi Anda antarmuka yang sesuai, tidak seperti alat lain yang memecahkan sandi server SSH.

Thc-Hydra

Hydra adalah salah satu alat paling terkenal untuk cracking login yang digunakan baik di Linux atau Windows/Cygwin. Selain itu, untuk Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10), dan macOS. Ini mendukung banyak protokol seperti AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY, dan banyak lagi.

Diinstal secara default di Kali Linux, Hydra dirancang dengan baris perintah dan versi grafis. Itu dapat memecahkan satu atau daftar nama pengguna/kata sandi dengan metode brute-forcing.

Juga, ini diparalelkan, alat yang sangat cepat dan fleksibel yang memungkinkan Anda untuk membatasi kemungkinan akses tidak sah ke sistem Anda dari jarak jauh.

Beberapa alat peretas masuk lainnya digunakan untuk fungsi yang sama, tetapi hanya Hydra yang mendukung banyak protokol berbeda dan koneksi paralel.

Suite Bersendawa

Burp Suite Professional adalah toolkit penting untuk penguji keamanan web, dan dilengkapi dengan fitur yang cepat dan dapat diandalkan. Dan juga, itu dapat mengotomatiskan tugas pengujian yang monoton. Selain itu, ini dirancang oleh fitur pengujian keamanan manual dan semi-otomatis para ahli. Banyak ahli menggunakannya dalam menguji sepuluh kerentanan teratas OWASP.

Burp menawarkan banyak fitur unik, mulai dari meningkatkan cakupan pemindaian hingga menyesuaikannya ke mode gelap. Itu dapat menguji/memindai aplikasi web modern yang kaya fitur, JavaScript, menguji API.

Ini adalah alat yang dirancang benar-benar untuk menguji layanan, bukan untuk meretas, seperti banyak lainnya. Jadi, ia merekam urutan otentikasi yang kompleks dan menulis laporan untuk digunakan dan dibagikan langsung oleh pengguna akhir.

Ini juga memiliki keuntungan membuat pengujian keamanan aplikasi out-of-band (OAST) yang menjangkau banyak kerentanan tak terlihat yang tidak bisa dilakukan orang lain. Selain itu, Ini adalah yang pertama mendapatkan keuntungan dari penggunaan PortSwigger Research, yang menempatkan Anda di depan kurva.

Patator

Patator adalah alat brute-force untuk penggunaan serbaguna dan fleksibel dalam desain modular. Tampaknya frustrasi refleks menggunakan beberapa alat lain dan skrip serangan kata sandi. Patator memilih pendekatan baru untuk tidak mengulangi kesalahan lama.

Ditulis dalam Python, Patator adalah alat multi-utas yang ingin melayani pengujian penetrasi dengan cara yang lebih fleksibel dan tepercaya daripada pendahulunya. Ini mendukung banyak modul, termasuk yang berikut ini.

• FTP
• SSH
• MySQL
• SMTP
• Telnet
• DNS
• UKM
• IMAP
• LDAP
• masuk
• File zip
• File Java Keystore

Pydictor

Pydictor adalah salah satu alat hacking kamus hebat lainnya. Dalam hal tes panjang dan kekuatan kata sandi, ini dapat mengejutkan baik pemula maupun profesional. Ini adalah alat yang tidak dapat digunakan penyerang di gudang senjata mereka. Selain itu, ia memiliki kelebihan fitur yang memungkinkan Anda menikmati kinerja yang sangat kuat dalam situasi pengujian apa pun.

• Asisten tetap: memungkinkan Anda membuat daftar kata umum, daftar kata rekayasa sosial, daftar kata khusus menggunakan konten web, dll. Selain itu, ini berisi filter untuk membantu memfokuskan daftar kata Anda.
• Sangat disesuaikan: Anda dapat menyesuaikan atribut daftar kata sesuai kebutuhan Anda dengan menggunakan filter berdasarkan panjang, mode leet, dan lebih banyak fitur.
• Fleksibilitas dan kompatibilitas: mampu mengurai file konfigurasi, dengan kemampuan untuk bekerja dengan lancar baik di Windows, Linux, atau Mac.

Kamus Pydictor

• Kamus Numerik
• Kamus Alfabet
• Kamus Alfabet Huruf Besar
• Numerik Ditambah Dengan Huruf Besar Abjad
• Huruf Besar Digabungkan Dengan Huruf Kecil Alfabet
• Angka Digabungkan Dengan Huruf Kecil Abjad
• Menggabungkan Huruf Besar, Huruf Kecil, dan Angka
• Menambahkan Kepala Statis
• Memanipulasi Filter Kompleksitas Kamus

retak

Ncrack adalah sejenis alat cracking jaringan dengan kinerja kecepatan tinggi. Ini dirancang bagi perusahaan untuk membantu mereka menguji perangkat jaringan mereka untuk kata sandi yang lemah. Banyak profesional Keamanan merekomendasikan penggunaan Ncrack untuk mengaudit keamanan jaringan sistem. Itu dirilis sebagai alat mandiri atau sebagai bagian dari Kali Linux.

Dengan pendekatan modular dan mesin dinamis, Ncrack yang dirancang dengan baris perintah dapat menyesuaikan perilakunya sesuai dengan umpan balik jaringan. Dan itu dapat melakukan audit luas yang andal untuk banyak host secara bersamaan.

Fitur-fitur Ncrack tidak terbatas pada antarmuka yang fleksibel tetapi mengamankan kontrol penuh operasi jaringan bagi pengguna. Itu memungkinkan serangan brute-forcing canggih yang luar biasa, interaksi runtime, dan template waktu untuk memfasilitasi penggunaan, seperti Nmap.

Protokol yang didukung termasuk SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA, dan DICOM, yang memenuhi syarat untuk berbagai industri.

Hashcat

Hashcat adalah alat pemulihan kata sandi. Ini dapat bekerja di Linux, OS X, dan Windows dan mendukung banyak algoritma Hashcat yang didukung hashcat seperti MD4, MD5, SHA-family, LM hash, dan format Unix Crypt.

Hashcat telah menjadi terkenal karena pengoptimalannya sebagian bergantung pada perangkat lunak yang ditemukan oleh pembuat Hashcat.

Hashcat memiliki dua varian:

• Alat pemulihan kata sandi berbasis CPU
• Alat pemulihan kata sandi berbasis GPU

Alat GPU dapat memecahkan beberapa warisan hashcat dalam waktu yang lebih singkat daripada alat CPU (MD5, SHA1, dan lainnya). Tetapi tidak setiap algoritma dapat dipecahkan lebih cepat oleh GPU. Namun, Hashcat telah digambarkan sebagai cracker kata sandi tercepat di dunia.

Kesimpulan

Setelah pertunjukan mendetail ini, Anda memiliki beragam gudang alat untuk diganti. Pilih yang paling cocok untuk Anda untuk setiap situasi dan keadaan yang Anda hadapi. Tidak ada alasan untuk percaya bahwa tidak ada keragaman dalam alternatif. Dalam beberapa kasus, alat yang paling sederhana adalah yang terbaik, dan dalam kasus lain, sebaliknya.

Selanjutnya, jelajahi beberapa alat investigasi forensik.