
Sanakirjahyökkäys (dictionary attack) on hyvin yksinkertainen. Otetaan käyttäjätunnus, lista yleisiä tai todennäköisiä salasanoja, ja sitten kokeillaan kirjautua jokaisella salasanalla mitä listasta löytyy.

On lukuisia tapoja tehdä tällainen hyökkäys. Tässä harjoituksessa käytämme harjoituskoneen polusta /usr/share/wordlists/common-passwords.txt löytyvää salasanalistaa ja THC Hydra -nimistä komentorivityökalua arvailun automatisoimiseen. Käynnistä harjoitus ja jatka lukemista!

Tässä labrassa pääset tekemään dictionary-hyökkäyksen (nk. sanakirjahyökkäys) sovellukseen ja yrität päästä admin-käyttäjän tilille.

Dictionary-hyökkäys

Selvitetään, minkälainen HTTP-pyyntö kirjautumisyrityksestä lähtee, sekä miten erottaa onnistunut tai epäonnistunut kirjautuminen HTTP-vastauksesta.

Aloita kirjautumalla sovellukseen ja etsi sitten burpin HTTP-historiasta kirjautumispyyntö: 

Lähetä sitten pyyntö ensin oikealla salasanalla ja tarkastele HTTP-vastausta. Voidaan päätellä, että oikea vastaus esimerkiksi:

Body sisältää tekstin "Redirecting..."

Lähetä sitten sama pyyntö väärällä salasanalla. Voidaan päätellä, että väärä vastaus esimerkiksi: 

Body sisältää "Invalid username or password"

Tarkastele vielä lopuksi itse HTTP-pyyntöä. Kyseessä on 

 ja jonka bodyssa menee kaksi parametria, 

Näillä tiedoilla pääsemme eteenpäin!

Hydran syntaksi on tässä tapauksessa seuraavanlainen: 

, joka tarkoittaa käyttäjätunnuksen sijasta tiedostoa, jossa on monta käyttäjätunnusta. 

, joka vastaavasti tarkoittaa salasanalistaa. Kokeillaan kuitenkin ensin vain yhdellä käyttäjätunnuksella ja salasanalla, nimittäin omallasi, että hydra toimii oikein.

 on sopiva teho niin labra ei kaadu. Oletus on 16, joka voi olla sovellukselle vähän raskas.

Body taas annetaan niin, että paikat joihin käyttäjätunnus ja salasana laitetaan, merkitään teksteillä 

: sinun labran domain, esim. www-0xrue3l19e.ha-target.com

: https-post-form (hydran moduuli joka käsittelee urlencoded HTTPS POST -lomakkeita)

: Invalid (HTTP-vastaus joka merkitsee epäonnistunutta kirjautumisyritystä sisältää tekstin "Invalid")

Voisit siis kokeilla hydraa suunnilleen tällä tavalla: 

Jos kokeilu tuntuu toimivan, kokeile seuraavaksi väärää salasanaa. Tällä kertaa hydran ei pitäisi onnistua.

Jotta voimme käynnistää varsinaisen hyökkäyksen, teemme kaksi muutosta hydra-komentoon.

Vaihdamme käyttäjätunnuksen hyökkäyksen kohteen sähköpostiosoitteeseen, joka on t

jessica.blanchard@ha-target.com (sinun labrassa admin on eri, löydät adminin sähköpostin labran etusivulta).

Salasanan (-p) sijaan käytämmekin salasanalistaa (-P) joka sijaitsee polussa /usr/share/wordlists/common-passwords.txt

Sitten vain odottelet hetken kun hydra käy salasanalistan läpi, ja jos hyvin käy, saat admin-käyttäjän salasanan!

Salasanoja käyttävän sovelluksen voi parhaiten suojata sanakirjahyökkäyksiä vastaan estämällä käyttäjätunnukselle kirjautumisen väliaikaisesti muutaman, esim. viiden epäonnistuneen yrityksen jälkeen.

Sovelluksen suojaaminen sanakirjahyökkäykseltä

Sanakirjahyökkäys (dictionary attack) on hyvin yksinkertainen. Otetaan käyttäjätunnus, lista yleisiä tai todennäköisiä salasanoja, ja sitten kokeillaan kirjautua jokaisella salasanalla mitä listasta löytyy.

## Harjoitus

On lukuisia tapoja tehdä tällainen hyökkäys. Tässä harjoituksessa käytämme harjoituskoneen polusta /usr/share/wordlists/common-passwords.txt löytyvää salasanalistaa ja THC Hydra -nimistä komentorivityökalua arvailun automatisoimiseen. Käynnistä harjoitus ja jatka lukemista!

@exercise 74bd660f3a15

---

## Pohjatyö

Selvitetään, minkälainen HTTP-pyyntö kirjautumisyrityksestä lähtee, sekä miten erottaa onnistunut tai epäonnistunut kirjautuminen HTTP-vastauksesta.

Aloita kirjautumalla sovellukseen ja etsi sitten burpin HTTP-historiasta kirjautumispyyntö: 

![](sanity:image-6933d167fd838bddfd3946fa5bc68a0a3c671308-731x322-png)

Lähetä sitten pyyntö repeateriin: 

![](sanity:image-d5a401557113b9214ebe304b9d13d6e1876e6f26-731x322-png)

Lähetä sitten pyyntö ensin oikealla salasanalla ja tarkastele HTTP-vastausta. Voidaan päätellä, että oikea vastaus esimerkiksi:

- Palauttaa HTTP-statuskoodin 302
- Body sisältää tekstin "Redirecting..."
- On noin 200 merkin pituinen.

@embed 37edbcb13402

Lähetä sitten sama pyyntö väärällä salasanalla. Voidaan päätellä, että väärä vastaus esimerkiksi: 

- Palauttaa HTTP-statuskoodin 200
- Body sisältää "Invalid username or password"
- On noin 5000 merkin pituinen.

@embed e643699274c6

Tarkastele vielä lopuksi itse HTTP-pyyntöä. Kyseessä on **POST**-pyyntö polkuun **/login**, jonka sisällä on tyyppiä **application/x-www-form-urlencoded** ja jonka bodyssa menee kaksi parametria, **email** (käyttäjän sähköpostiosoite) ja **password** (käyttäjän salasana).

Näillä tiedoilla pääsemme eteenpäin!

---

## Hydran konfigurointi

Hydran syntaksi on tässä tapauksessa seuraavanlainen: 

hydra -t **<teho (threads)>** -l **<käyttäjätunnus>** -p **<salasana>** **<domain> <moduuli>** "**<polku>**:**<body>**:F=**<teksti joka merkitsee epäonnistumista kirjautumista>**".

**-l **voidaan korvata isolla ällällä **-L**, joka tarkoittaa käyttäjätunnuksen sijasta tiedostoa, jossa on monta käyttäjätunnusta. **-p** voidaan myös korvata isolla peellä **-P**, joka vastaavasti tarkoittaa salasanalistaa. Kokeillaan kuitenkin ensin vain yhdellä käyttäjätunnuksella ja salasanalla, nimittäin omallasi, että hydra toimii oikein.

**-t 4** on sopiva teho niin labra ei kaadu. Oletus on 16, joka voi olla sovellukselle vähän raskas.

Body taas annetaan niin, että paikat joihin käyttäjätunnus ja salasana laitetaan, merkitään teksteillä **^USER^** ja **^PASS^**.

- **käyttäjätunnus**: student@ha-target.com
- **salasana**: student
- **domain**: sinun labran domain, esim. www-0xrue3l19e.ha-target.com
- **moduuli**: https-post-form (hydran moduuli joka käsittelee urlencoded HTTPS POST -lomakkeita)
- **polku**: /login
- **body**: email=^USER^&password=^PASS^
- **epäonnistunut kirjautuminen**: Invalid (HTTP-vastaus joka merkitsee epäonnistunutta kirjautumisyritystä sisältää tekstin "Invalid")

Voisit siis kokeilla hydraa suunnilleen tällä tavalla: 

```sh
hydra -t 4 -l "student@ha-target.com" -p student  www-0xrue3l19e.ha-target.com https-post-form "/login:email=^USER^&password=^PASS^:F=Invalid"
```

![](sanity:image-63e23bab2ad0ee40b2a07ea31e32a63861a0c485-824x135-png)

Jos kokeilu tuntuu toimivan, kokeile seuraavaksi väärää salasanaa. Tällä kertaa hydran ei pitäisi onnistua.

```sh
hydra -t 4 -l "student@ha-target.com" -p EiOikeaSalasana  www-0xrue3l19e.ha-target.com https-post-form "/login:email=^USER^&password=^PASS^:F=Invalid"
```

![](sanity:image-418bcc976f657dad0ad1d95cd3f56d3bec9d9660-651x186-png)

---

## Hyökkäyksen käynnistäminen

Jotta voimme käynnistää varsinaisen hyökkäyksen, teemme kaksi muutosta hydra-komentoon.

- Vaihdamme käyttäjätunnuksen hyökkäyksen kohteen sähköpostiosoitteeseen, joka on t**ässä tapauksessa **jessica.blanchard@ha-target.com (sinun labrassa admin on eri, löydät adminin sähköpostin labran etusivulta).
- Salasanan (-p) sijaan käytämmekin salasanalistaa (-P) joka sijaitsee polussa /usr/share/wordlists/common-passwords.txt

```sh
hydra -t 4 -l "jessica.blanchard@ha-target.com" -P /usr/share/wordlists/common-passwords.txt www-0xrue3l19e.ha-target.com https-post-form "/login:email=^USER^&password=^PASS^:F=Invalid"
```

Sitten vain odottelet hetken kun hydra käy salasanalistan läpi, ja jos hyvin käy, saat admin-käyttäjän salasanan!

![](sanity:image-02aeaa84fd5fb09f737e8fb0094cdada45c3010e-651x186-png)

@embed b1f0d5fb87a6


Sanakirjahyökkäykset (Dictionary Attack)

Salasanat ovat hirvittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Salasanat ovat hivittävän epäturvallisia aivan hirvittävän monesta syystä, mutta silti välttämättömiä. Vaarallinen kombinaatio!

Sanakirjahyökkäykset (Dictionary Attack)

Harjoitus

Hakkeroinnin oppiminen alkaa tästä