HurricanX
29.10.2004, 03:14
Einführung - Wie knacken Hacker Passwörter
Benötigte Tools für diesen Workshop
Brutus AET
Schritt 1
Entpacken Sie die "BrutusA2.exe" und führen Sie die "BrutusA2.exe" aus.
Schritt 2
In das Feld "Target" tragen Sie die URL oder IP-Adresse des Zielsystems ein. In unserem Fall ist dies "mail.gmx.net" oder die IP-Adresse "213.165.64.20".
Schritt 3
Nun muss unter "Type" die Art des Dienstes gewählt werden, der angegriffen werden soll. Eingetragen sind dort unter anderem HTTP, FTP, POP3, Telnet und SMB (NetBOIS). Unsere Mail-Box arbeitet unter POP3. Wird dies eingestellt, erscheint im Feld "Port" nun automatisch der entsprechende Port "110".
Schritt 4
Unter dem Punkt "Authentication Options" muss ein Häkchen in "Use Username" gesetzt werden. In das darunter liegende Feld tragen Sie die Kundennummer oder die Mail-Adresse ein. Wir versuchen es mit dem Account "test_password@gmx.de" und tragen die Adresse entsprechend ein. Einen weiteren Haken müssen Sie in "Single User" setzen, da ansonsten eine Datei mit mehreren Usernamen angelegt werden muss, die geprüft werden sollen.
Schritt 5
Mit "Pass Mode" kann man noch die Art des Angriffes wählen. Wenn Sie meinen, das Passwort im Ansatz zu kennen oder es sogar ganz zu wissen, sollten Sie "Word List" oder "Combo List" wählen und eine der mitgelieferten Listen verwenden. Haben Sie keine Ahnung, wie das Passwort lautet, wählen sie die "Brute-Force-Methode".
Schritt 6
Unter Range muss nun eingestellt werden, welche Länge das zu knackende Passwort haben könnte. "Min Length" und "Max Length" gibt an, zwischen wie vielen Stellen geprüft werden soll. Ein Mittelwert liegt zwischen 4 und 7. Liegt die Anzahl höher, lohnt ein Angriff über das Internet meist nur noch bedingt, da hier zu viel Zeit benötigt wird. Weiterhin kann die Art des Passwortes ausgewählt werden. Hat es beispielsweise Buchstaben und Zahlen, muss "Alphanumerisch" gewählt werden.
Schritt 7
Nachdem diese entscheidenden Einstellungen vorgenommen wurden, drücken Sie auf "Start", um den Angriff zu beginnen. Während dessen zeigt Ihnen der untere Balken mit der Prozentangabe den Fortschritt des Angriffes. In der Statusleiste wird angezeigt, welcher Username und welches Passwort im Moment probiert werden. Wenn die Site oder der Mail-Account erfolgreich geknackt wurden, erscheinen das Passwort und der Username in der Tabelle "Positive Authentication Results". Nun können Sie sich über www.gmx.de zusammen mit dem Usernamen und dem gefundenen Passwort einloggen.
Benötigte Tools für diesen Workshop
Brutus AET
Schritt 1
Entpacken Sie die "BrutusA2.exe" und führen Sie die "BrutusA2.exe" aus.
Schritt 2
In das Feld "Target" tragen Sie die URL oder IP-Adresse des Zielsystems ein. In unserem Fall ist dies "mail.gmx.net" oder die IP-Adresse "213.165.64.20".
Schritt 3
Nun muss unter "Type" die Art des Dienstes gewählt werden, der angegriffen werden soll. Eingetragen sind dort unter anderem HTTP, FTP, POP3, Telnet und SMB (NetBOIS). Unsere Mail-Box arbeitet unter POP3. Wird dies eingestellt, erscheint im Feld "Port" nun automatisch der entsprechende Port "110".
Schritt 4
Unter dem Punkt "Authentication Options" muss ein Häkchen in "Use Username" gesetzt werden. In das darunter liegende Feld tragen Sie die Kundennummer oder die Mail-Adresse ein. Wir versuchen es mit dem Account "test_password@gmx.de" und tragen die Adresse entsprechend ein. Einen weiteren Haken müssen Sie in "Single User" setzen, da ansonsten eine Datei mit mehreren Usernamen angelegt werden muss, die geprüft werden sollen.
Schritt 5
Mit "Pass Mode" kann man noch die Art des Angriffes wählen. Wenn Sie meinen, das Passwort im Ansatz zu kennen oder es sogar ganz zu wissen, sollten Sie "Word List" oder "Combo List" wählen und eine der mitgelieferten Listen verwenden. Haben Sie keine Ahnung, wie das Passwort lautet, wählen sie die "Brute-Force-Methode".
Schritt 6
Unter Range muss nun eingestellt werden, welche Länge das zu knackende Passwort haben könnte. "Min Length" und "Max Length" gibt an, zwischen wie vielen Stellen geprüft werden soll. Ein Mittelwert liegt zwischen 4 und 7. Liegt die Anzahl höher, lohnt ein Angriff über das Internet meist nur noch bedingt, da hier zu viel Zeit benötigt wird. Weiterhin kann die Art des Passwortes ausgewählt werden. Hat es beispielsweise Buchstaben und Zahlen, muss "Alphanumerisch" gewählt werden.
Schritt 7
Nachdem diese entscheidenden Einstellungen vorgenommen wurden, drücken Sie auf "Start", um den Angriff zu beginnen. Während dessen zeigt Ihnen der untere Balken mit der Prozentangabe den Fortschritt des Angriffes. In der Statusleiste wird angezeigt, welcher Username und welches Passwort im Moment probiert werden. Wenn die Site oder der Mail-Account erfolgreich geknackt wurden, erscheinen das Passwort und der Username in der Tabelle "Positive Authentication Results". Nun können Sie sich über www.gmx.de zusammen mit dem Usernamen und dem gefundenen Passwort einloggen.