Rockyou Wordlist ile Brute Force – Kali GNU / Linux

Rockyou Wordlist ile Brute Force – Kali GNU / Linux

Uygulamalarınız üzerinde güvenlik testleri gerçekleştirirken güncel wordlist dosyalarını kullanarak giriş hesaplarına brute force atak yapabilirsiniz. Yapacağınız atakta eğer kullanıcı hesabı popüler şifrelerden birini kullanıyorsa bunu tespit ederek değiştirilmesini sağlayabilirsiniz.

Tahminimce popüler bir uygulama database dosyasından alınan şifrelerin bulunduğu bir wordlist, çünkü içerisinde türkçe kelimeler de yer alıyor. Bu nedenle testinizin başarısız olacağını düşünmeyin. Sadece süre olarak biraz fazla vaktinizi almaktadır. Bu testi kendi oluşturacağınız kelimeler ile de yapabilirsiniz.

Kali üzerinden bir test yapalım. Öncelikle aşağıdaki eski makalemizi kullanarak bir sanal makine oluşturalım.

Sanal makineniz hazır olduktan sonra usr/share/wordlist klasöründe rockyou wordlist dosyamızı bulabilirsiniz.

50 mb arşiv dosyamızı ayrı bir klasöre çıkararak kullanabilirsiniz.

Masaüstünde rockyou.txt dizinine çıkardık arşivimizi. 133 MB bir txt dosyası.

Bir wordpress uygulaması üzerinde wpscan uygulaması ile testlerimizi gerçekleştirelim. Aşağıdaki bağlantıdan wpscan uygulaması hakkında bilgi alabilirsiniz.

Öncelikle kali üzerinde terminali açarak test edeceğimiz web sayfasındaki kullanıcı hesabı bilgisini alalım.

wpscan --url www.example.com --enumerate u

Kullanıcı hesap bilgisini aldıktan sonra wordlist dosyamızı kullanarak brute force atak yapalım. Kullanıcı adının admin olarak yukarıdaki komut ile bulduğumuzu düşünürsek terminal üzerinden aşağıdaki komut ile atak yapabilirsiniz.

wpscan --url www.example.com -P Desktop/rockyou.txt/rockyou.txt -U admin

Komutu çalıştırdığınızda 14344392 şifre ile admin kullanıcısını test etmeye başlayacaktır.

Ancak bu testi yaparken firewall ayarlarında ip adresinize izin verilmiş olması gerekir. Eğer izin tanımlanmadıysa ve web sitesi hosting firmasından firewall hizmeti alıyorsa sizi bloklayacaktır.

Aynı zamanda Captcha eklentisi olmaması gerekir. Eğer bu tarz bir saldırı almak istemiyorsanız aşağıdaki makale ile giriş sayfanıza Captcha ekleyebilirsiniz.

Aynı zamanda admin panelinizin adresini değiştirmek için aşağıdaki makaleyi inceleyebilirsiniz.

Saygılarımla

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir