Module 09: Broken Authentication

Brute Force

Wähle dein Protokoll, konfiguriere dein Ziel und starte den Angriff. Lerne die Syntax der mächtigsten Cracking-Tools der Welt.

Protocol Selection

Common Tools

THC Hydra (Network) John the Ripper (Offline) Hashcat (GPU Cracking)
Protocol: SSH
hydra -l [USER] -P rockyou.txt ssh://10.0.0.15
// INITIALIZING HYDRA ENGINE... READY.

Real-World Command Forge

Kopiere diese Befehle für dein eigenes Kali Linux / Parrot OS Lab

SSH Bruteforce 
hydra -l admin -P rockyou.txt 192.168.1.50 ssh
HTTP Post (Web) 
hydra -l admin -P pass.txt 192.168.1.50 http-post-form "/login.php:user=^USER^&pass=^PASS^:F=Invalid"
Windows RDP 
hydra -L users.txt -P rockyou.txt 192.168.1.50 rdp

Brute Force Deep-Dive

Was ist der Unterschied zwischen "Salting" und "Peppering"?

Beide Techniken schützen Passwörter in der Datenbank, aber auf unterschiedliche Weise:

  • Salt: Ein zufälliger Wert, der pro User generiert und zusammen mit dem Hash in der DB gespeichert wird. Er verhindert Rainbow-Table-Angriffe.
  • Pepper: Ein geheimer Wert, der für alle User gleich ist, aber nicht in der Datenbank, sondern im Applikationscode oder einem Hardware-Sicherheitsmodul (HSM) gespeichert wird.

Selbst wenn die Datenbank geleakt wird, kann der Angreifer ohne den "Pepper" keine Hashes knacken.

Was ist "Password Spraying" und warum ist es so effektiv?

Beim klassischen Brute-Force testet man 1.000 Passwörter gegen 1 User (führt zur Kontosperrung). Beim Password Spraying testet man 1 sehr häufiges Passwort (z.B. Sommer2024!) gegen 1.000 verschiedene User.

Da pro User nur ein Versuch stattfindet, schlagen die meisten Sperrmechanismen nicht an. In großen Unternehmen mit tausenden Mitarbeitern findet man so fast immer einen Account mit schwachem Passwort.

Warum nutzt man Grafikkarten (GPUs) zum Knacken von Hashes?

Eine CPU ist wie ein hochintelligenter Professor, der eine komplexe Aufgabe nach der anderen löst. Eine GPU ist wie 5.000 Grundschüler, die gleichzeitig einfache Additionsaufgaben lösen.

Hashing ist eine sehr einfache, mathematische Operation, die milliardenfach wiederholt werden muss. Eine moderne RTX-Grafikkarte kann Milliarden von Hashes pro Sekunde berechnen, während eine CPU nur auf wenige Millionen kommt.

Sind "Rainbow Tables" heute noch relevant?

Kaum noch. Rainbow Tables sind riesige Datenbanken mit vorberechneten Hashes. Sie funktionieren aber nur bei Hashes ohne Salt.

Da fast alle modernen Frameworks (wie Argon2, bcrypt oder scrypt) automatisch einen Salt verwenden, sind Rainbow Tables für moderne Web-Applikationen nutzlos geworden. Sie werden heute primär noch für alte Windows-Hashes (LM-Hashes) oder veraltete Legacy-Systeme verwendet.

Kann Brute-Force auch Multi-Faktor-Authentifizierung (MFA) umgehen?

Direktes Brute-Forcing des MFA-Codes ist schwierig (da meist nur 3-10 Versuche erlaubt sind). Aber: Angreifer nutzen MFA-Fatigue (den User mit Push-Benachrichtigungen bombardieren, bis er genervt auf "Akzeptieren" klickt) oder Session-Hijacking.

Dabei wird nicht das Passwort geklaut, sondern das bereits authentifizierte Session-Cookie nach dem Login. In diesem Fall fragt der Server nicht mehr nach MFA, da er glaubt, der User sei bereits eingeloggt.