Zanim zaczniemy – kwestia legalności
Techniki, które tu opisuję, możesz stosować wyłącznie na własnych systemach lub specjalnie do tego przygotowanych maszynach treningowych (CTF). Wykorzystanie tych metod wobec cudzych systemów bez autoryzacji to przestępstwo. Ten materiał ma charakter edukacyjny – służy temu, żebyś wiedział, jak działają atakujący i jak się przed nimi chronić.
konsultacje
Wzmocnij cyberbezpieczeństwo
swojej firmy już dziś!
Zapisz się na 30-minutową darmową konsultację, aby wstępnie omówić potrzeby związane z cyberbezpieczeństwem w Twojej firmie.
Wspólnie znajdziemy rozwiązanie dopasowane do specyfiki Twojej działalności!
Co to jest atak brute force?
Brute force to atak polegający na systematycznym próbowaniu różnych kombinacji haseł, aż jedno zadziała. Zamiast zgadywać ręcznie, atakujący używa narzędzi, które automatycznie wysyłają setki lub tysiące prób logowania na minutę.
Do skutecznego ataku brute force potrzebujesz dwóch rzeczy: nazwy użytkownika (login) i słownika haseł (wordlist). Słownik to plik tekstowy zawierający tysiące lub miliony potencjalnych haseł – od „admin123″ przez „qwerty” po bardziej złożone kombinacje.
Takie słowniki są publicznie dostępne w internecie. Jeden z najpopularniejszych, rockyou.txt, zawiera ponad 14 milionów haseł pochodzących z prawdziwych wycieków danych. I właśnie dlatego ten atak jest tak skuteczny – ludzie używają tych samych haseł, które już kiedyś wyciekły.
Środowisko testowe – maszyna Mr. Robot z VulnHub
Do demonstracji używam maszyny CTF (Capture The Flag) inspirowanej serialem Mr. Robot. To specjalnie przygotowana maszyna wirtualna z celowo osłabionymi zabezpieczeniami – stworzona po to, żeby się na niej uczyć. Możesz ją pobrać za darmo z VulnHub i uruchomić w swoim środowisku wirtualizacyjnym (VirtualBox, VMware, Proxmox).
Atakuję z poziomu Kali Linux – dystrybucji stworzonej specjalnie do testów penetracyjnych, z preinstalowanymi narzędziami, które zaraz pokażę.
Atak brute force krok po kroku
Etap 1: Rekonesans – co wiemy o celu?
Pierwsza rzecz: sprawdzam, czy maszyna odpowiada. Prosty ping na adres IP celu pokazuje TTL (Time To Live) równy 63. Standardowy TTL dla Linuxa to 64, więc wartość 63 (o jeden mniej, bo pakiet przeszedł przez jeden hop) mówi nam, że mamy do czynienia z systemem Linux lub Unix.
Następnie odpalam Nmap – narzędzie do skanowania portów. Podstawowe skanowanie ujawnia trzy porty:
|
Port |
Status |
Usługa |
|
22 (SSH) |
Zamknięty |
Zdalny dostęp – niedostępny |
|
80 (HTTP) |
Otwarty |
Serwer WWW |
|
443 (HTTPS) |
Otwarty |
Serwer WWW z SSL |
Port SSH jest zamknięty, więc nie zaatakujemy go bezpośrednio. Skupiam się na portach 80 i 443 – tam działa strona internetowa.
Etap 2: Enumeracja – co jest na tej stronie?
Otwieram adres IP w przeglądarce. Pojawia się efektowna animacja nawiązująca do serialu Mr. Robot – ładna, ale nie daje nam żadnych wskazówek technicznych.
Odpalam Gobuster – narzędzie do enumeracji katalogów. Działa tak: bierze słownik nazw (np. admin, login, wp-admin, backup) i sprawdza, czy pod danym adresem istnieje taki katalog lub plik. Szukam katalogów ze statusem HTTP 200 (strona istnieje).
Wyniki są interesujące. Znalazłem kilka stron, ale dwie są kluczowe:
- /wp-login.php– formularz logowania WordPressa. To nasz cel do ataku brute force.
- /robots.txt– plik, który mówi wyszukiwarkom, gdzie nie zaglądać. Paradoksalnie, dla atakującego to wskazówka, gdzie warto zajrzeć. W tym przypadku robots.txt ujawnił ścieżkę do pliku fsocity.dic – słownika z 858 tysiącami wyrazów. Ktoś zostawił słownik na serwerze, a plik robots.txt praktycznie go zareklamował.
Etap 3: Przygotowanie słownika
Pobieram słownik i sprawdzam jego zawartość. 858 tysięcy wyrazów to dużo, a duży słownik to dłuższy czas ataku i więcej ruchu sieciowego, który łatwiej wykryć.
Przeglądam plik i zauważam, że wiele wyrazów się powtarza. Deduplikuję słownik jedną komendą:
cat fsocity.dic | sort -u > fsocity_clean.dic
Efekt: z 858 tysięcy wpisów zostaje około 11 tysięcy unikalnych. To 80-krotna redukcja – atak potrwa ułamek czasu i wygeneruje ułamek ruchu sieciowego.
Etap 4: Brute force za pomocą Hydra
Hydra to jedno z najpopularniejszych narzędzi do ataków brute force. Obsługuje dziesiątki protokołów – SSH, FTP, HTTP, formularze webowe i wiele innych.
Żeby zaatakować formularz logowania WordPressa, muszę wiedzieć, jakie zmienne są używane w formularzu. Otwieram kod źródłowy strony wp-login.php (Ctrl+U w przeglądarce) i znajduję:
|
Element formularza |
Nazwa zmiennej |
Wartość |
|
Pole loginu |
log |
Nazwa użytkownika |
|
Pole hasła |
pwd |
Hasło |
|
Przycisk submit |
wp-submit |
Log+In |
Wiem też, że przy błędnym logowaniu strona wyświetla komunikat z frazą „error”. To pozwala Hydrze rozpoznać nieudaną próbę.
Pierwsza próba z loginem „admin” nie daje rezultatu – takiego użytkownika nie ma w systemie. Ale ponieważ maszyna jest inspirowana serialem Mr. Robot, próbuję loginu „Elliot” (imię głównego bohatera). I tu Hydra po jakimś czasie znajduje prawidłowe hasło.
Loguję się do WordPressa – pełen dostęp do panelu administracyjnego. Złamanie zabezpieczeń zajęło kilkanaście minut.
Etap 5: Szybsza metoda – WPScan
Hydra jest uniwersalna, ale do WordPressa istnieje dedykowane narzędzie: WPScan. To skaner bezpieczeństwa stworzony specjalnie pod WordPressa – oprócz brute force potrafi też wykryć podatności w pluginach, motywach i samym rdzeniu CMS-a.
Komenda jest prostsza niż w Hydrze:
wpscan –url http://[adres-IP] -U elliot -P fsocity_clean.dic
WPScan robi coś sprytnego: zamiast atakować standardowy formularz logowania, uderza w protokół XML-RPC. Ten protokół pozwala na wysyłanie wielu prób logowania w jednym zapytaniu HTTP, co drastycznie przyspiesza atak.
Efekt: WPScan znalazł to samo hasło w 12 sekund. Porównaj to z kilkunastoma minutami Hydry. Różnica wynika właśnie z metody ataku – XML-RPC jest wielokrotnie szybszy niż formularz logowania.
konsultacje z cyberguru
Gotowy na wzmocnienie cyberbezpieczeństwa swojej firmy?
Zarezerwuj darmową 30-minutową konsultację, aby omówić potrzeby Twojej firmy w zakresie ochrony danych i cyberbezpieczeństwa. Wspólnie zidentyfikujemy zagrożenia i znajdziemy najlepsze rozwiązania dopasowane do Twojego biznesu.
Porozmawiajmy! Kliknij w poniższy przycisk i umów się na bezpłatną konsultację.
Co z tego wynika? Jak to wygląda w praktyce
Na maszynie treningowej cały proces – od rekonesansu po zalogowanie się do panelu admina – zajął około 20 minut. W realnym świecie to może trwać dłużej (silniejsze hasła, zabezpieczenia), ale schemat jest identyczny.
Najważniejsza lekcja: to nie był skomplikowany atak. Nie wykorzystałem żadnych eksploitów zero-day, nie pisałem własnego kodu. Użyłem publicznie dostępnych narzędzi, publicznie dostępnego słownika i prostej logiki. Jeśli Twój WordPress ma słabe hasło i brak dodatkowych zabezpieczeń – ktoś może zrobić dokładnie to samo.
Jak chronić swojego WordPressa przed brute force?
- Silne, unikalne hasło – To podstawa. Hasło powinno mieć minimum 16 znaków, zawierać wielkie i małe litery, cyfry i znaki specjalne. Najlepiej wygeneruj je w menedżerze haseł. Hasła typu „admin123″ czy „qwerty” są dosłownie w pierwszych liniach każdego słownika.
- Zmień domyślny login „admin” – Pierwszą rzeczą, którą robi atakujący, to sprawdzenie loginu „admin”. Zmień go na coś niestandardowego.
- Wyłącz XML-RPC, jeśli go nie potrzebujesz – Jak widzieliśmy, XML-RPC pozwala na wielokrotnie szybszy brute force niż standardowy formularz. Jeśli nie korzystasz z aplikacji mobilnej WordPress ani usług wymagających XML-RPC – wyłącz go. Możesz to zrobić pluginem (np. Disable XML-RPC) lub regułą w .htaccess.
- Ogranicz liczbę prób logowania – Pluginy takie jak Limit Login Attempts Reloaded czy Wordfence pozwalają blokować IP po kilku nieudanych próbach logowania. To skutecznie utrudnia ataki brute force.
- Włącz dwuskładnikowe uwierzytelnianie (2FA) – Nawet jeśli ktoś zgadnie Twoje hasło, bez kodu z telefonu nie wejdzie. Pluginy takie jak WP 2FA czy Google Authenticator dodają tę warstwę ochrony.
- Ukryj stronę logowania – Domyślny adres wp-login.php jest znany każdemu. Plugin WPS Hide Login pozwala zmienić URL logowania na niestandardowy – atakujący musi go najpierw znaleźć, zanim zacznie atak.
- Korzystaj z WAF (Web Application Firewall – Cloudflare, Sucuri czy Wordfence potrafią wykryć i zablokować ataki brute force na poziomie sieciowym, zanim zapytanie w ogóle dotrze do Twojego serwera.
współpraca
Szukasz stałej, kompleksowej obsługi bezpieczeństwa IT Twojej firmy?
Współpracuj ze mną w modelu CISO as a Service
Zostanę zewnętrznym szefem cyberbezpieczeństwa Twojej firmy
CISO as a Service od Cyberguru to:
- działania dot. cyberbezpieczeństwa dostosowane do specyfiki Twojej branży i skali działalności
- strategiczne podejście do bezpieczeństwa IT obejmujące zarządzanie ryzykiem i wdrażanie polityk
- wsparcie operacyjne: od monitorowania bezpieczeństwa IT, przez reagowanie na incydenty, aż po audyty i testy penetracyjne
- stałe podnoszenie świadomości dot. cyberbezpieczeństwa u Twoich pracowników poprzez cykliczne szkolenia
- korzystanie z wiedzy specjalisty, który jest na bieżąco z najnowszymi trendami w branży cyberbezpieczeństwa
- zapewnienie zgodności z lokalnymi i międzynarodowymi przepisami dot. ochrony danych i bezpieczeństwa informacji
- regularne raportowanie o obecnej sytuacji bezpieczeństwa IT w Twojej firmie i zalecanych krokach
- redukcja kosztów związanych z zatrudnieniem pełnoetatowego CISO, szczególnie dla mniejszych firm
O autorze
Od ponad 15 lat pracuję w branży IT, a od 2018 roku zawodowo zajmuję się cyberbezpieczeństwem, analizą incydentów i testami penetracyjnymi.
Na co dzień mam do czynienia z prawdziwymi danymi, realnymi zagrożeniami i sytuacjami, w których błędne założenie kosztuje czas, pieniądze albo bezpieczeństwo. To doświadczenie bardzo mocno ukształtowało mój sposób myślenia – i dokładnie ten sposób myślenia chcę Ci przekazać w Cyberdetektywie.
Ten kurs powstał dlatego, że przez lata widziałem, jak wiele problemów bierze się z braku umiejętności weryfikowania informacji, łączenia faktów i odróżniania danych od domysłów. W pracy z incydentami i bezpieczeństwem bardzo szybko wychodzi na jaw, kto potrafi analizować sytuację, a kto tylko zgaduje – i ta różnica jest kluczowa również poza światem IT w zupełnie prywatnych warunkach.
Cyberdetektyw nie jest kursem teoretycznym ani zbiorem efektownych trików. To próba przeniesienia podejścia znanego z cyberbezpieczeństwa i pentestów do świata OSINT-u. Pokażę Ci nie tylko narzędzia i techniki, ale przede wszystkim tok myślenia, który wykorzystuję w swojej pracy.
