ES: Las viejas técnicas nunca mueran y ataques de fuerza bruta contra autenticación de red no es ningún excepción. Desde hace años existen este tipo de herramientas como pueden ser Brutus y HTC Hydra además es bien sabido que los “malos” han desarrollado sistemas masivos para realizar estos ataques en Internet a gran escala.
Ahora tenemos una nueva e interesante herramienta llamada Ncrack desarrollada por ithilgore y Fyodor el autor de Nmap. Es por eso que Ncrack sigue la misma línea que Nmap a lo que interface y comandos se refiere y nos permite realizar ataques de fuerza bruta a una velocidad de vértigo!!!
Por el momento está limitado a pocos protocolos como son Telnet, FTP, HTTP Basic y SSH pero son un buen comienzo 🙂
Además de la velocidad tiene otras características interesantes como son:
- Salva la sesión y poder continuar en otro momento
- Compatibilidad con Nmap
- Trae unas listas de las contraseñas más comunes
- Fácil desarrollar nuevos protocolos
Examinando los listados de contraseñas podemos ver las típicas y contraseñas reales basadas en “hackeos” de myspace, phpbb y Hotmail. Tranquilo que mis contraseñas no están 🙂
Desde luego una herramienta para tener en la caja de herramientas cuando tengas que realizar un test de intrusión.
US: Old techniques never die and brute-force against network authentication is no exception. For years there have been such tools as Brutus and HTC Hydra and is well known that the “bad guys” have developed massive systems to perform these attacks on Internet at a large-scale.
We now have an exciting new tool called Ncrack developed by ithilgore and Fyodor Nmap’s author. This is why Ncrack follows the same style as Nmap regarding interface and commands and allows us to perform brute-force attacks at a speed of light!!!
Is currently limited to few protocols such as Telnet, FTP, HTTP Basic, and SSH but is a good starting point 🙂
In addition to the speed it has other interesting features such as:
• Saves session and continues at a later time
• Support for Nmap
• Brings a few lists of common passwords
• Easy to develop new protocols
Examining the password listings we can see common and real passwords based on 0wned of myspace, phpbb and Hotmail. Don’t worry my passwords are not in the lists 🙂
Truly a tool to have in the Toolbox when you have to perform a pen testing.
— SRF