Salve a tutti.
Chiedo se qualcuno è riuscito a testare positivamente il comando riportato relativo a Hydra :
hydra -t 3 -l msfadmin -e nsr www.labpentest.hj ssh (pag. 35 rivista)
Così non funziona. Dice che il server non supporta la password authentication
Invece mettendo ftp al posto di ssh, come servizio, ritorna le credenziali dell' utente msfadmin corrette.
Grazie per eventuali riscontri
Buongiorno.
Ho riprovato ad utilizzare hydra contro i servizi FTP e SSH in esecuzione sulla VM metasploitable senza alcun problema. Ecco il link allo screenshot delle mie prove:
Ho spulciato tra gli issues segnalati sulla pagina github che ospita il codice di Hydra, ed ho trovato alcuni messaggi relativi a problematiche simili a quella che tu hai segnalato. Se dai un'occhiata a questo link, in particolare
https://github.com/vanhauser-thc/thc-hydra/issues/231
puoi notare come Van Hauser, l'autore di Hydra, suggerisca ad un utente che lamenta la tua medesima problematica (errore su SSH di tipo "target does not support password authentication") di provare a:
- effettuare una connessione SSH alla macchina attaccata, per verificare che il relativo servizio SSH funzioni correttamente (nel nostro caso, devi eseguire il comando ssh [email protected]);
- se la prova precedente ha dato esito positivo, provare ad aggiornare Hydra.
Che versione di Kali utilizzi per effettuare le tue prove? Lo screenshot che ho allegato a questo post si basa sulla Kali 19.04. Tieni conto che con la 20.1b (l'ultima scaricabile sul sito di Kali) mi è capitato di avere qualche piccolo problemino su un altro software...
Facci sapere!
Ciao,
grazie per il supporto.
Ti comunico che ho risolto usando l' ultima versione di Kali.
Quello che non capisco è che ieri su quella vecchia ho eseguito un "update & upgrade" ma non funzionava lo stesso.
Adesso andando avanti nella mia palestra mi sono imbattuto in altro problema.
Nell' articolo relativo all' atacco a Samba quando eseguo il comando :
"smbmap -H www.labpentest.hj....." pag 37 rivista 232 ho come risultato quello che si ha nella foto 4 della rivista (pag 36). Però non ho nessun output su nc -l p 3333.
Non so se mi puoi aiutare tu
Grazie
Massimo
Purtroppo non è raro che alcuni tool inclusi in Kali risenta o di vecchi bug, che non vengono risolti nemmeno aggiornando. Per questo a volte è preferibile installare i tool dal relativo codice sorgente... Comunque sono contento che tu abbia superato il problema.
Per quanto riguarda SMB, il comando che hai eseguito è quello che apre la connessione sulla porta 3333 oppure il precedente, quello che invece ha come oggetto la porta 54xx?
Hai usato correttamente i backtick?
@garrick Grazie per la risposta.
Il comando che ho usato è quello sulla 3333.
Purtroppo non so cosa sono i backtick.
Grazie
Massimo
@garrick Scusami mi sono documentato e ho capito.
Il problema che ho ora è che quando eseguo il comando con opzione " smbmap ....... -e /bin/sh" e poi faccio un hostname sulla connessione "nc -l -p 3333" non mi da il nome di macchina server web (metasploitable) ma mi da il nome della pentester (kali)
Grazie
Così è un pò difficile da capire 🙂 puoi pubblicare uno screenshot del problema, magari utilizzando un servizio come questo?
