[Tut] Menggunakan Hydra GUI - John & Hydra Of Yogyafree

[poni]

Kebanyakan dari Xcoder tentu sudah mengenal THC-Hydra (http://thc.org/thc-hydra), tool untuk menguji keamanan password dengan metode brute force. THC-Hydra ini sendiri sudah sangat populer pada platform security Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1 dan MAC OSX. untuk keterangan lebih lanjut, silahkan kunjungi situs pengembang THC Hydra.

Pada dasarnya tool ini berjalan pada mode command-line interface (CLI - Sarana interaksi program komputer di mana pengguna (user) mengirimkan perintah eksekusi dalam bentuk teks), yaitu dimana kita mengenal CLI sebagai mode sh, ksh, csh, tcsh, bash pada berbagai varian shell Unix/Linux, MS-DOS/IBM-DOS/DR-DOS's COMMAND.COM, OS/2 dan Command Prompt CMD.EXE pada Windows.

Komunitas XCode - Yogyafree telah merilis tool untuk menjalankan THC-Hydra dalam mode GUI dimana user bisa menjalankan Hydra dengan lebih mudah pada platform OS Windows. Download,Update Tool dan informasi pengembangan bisa anda dapatkan di

Code: Select all

http://www.xcode.or.id/forum/viewtopic.php?f=100&t=43404

OK saya asumsikan, anda sudah mendapatkan Tool John & Hydra Of Yogyafree. sebagai setting dasarnya. ekstrak dan simpan file Hydra.zip ke C:\Hydra. jalankan John & Hydra Of Yogyafree (JohnAndHydraOfYogyafree.exe)

Sebagai metode percobaan, target kita adalah komputer kita sendiri. di komputer penulis telah terinstall wampserver (http://www.wampserver.com/). service yang akan kita crack adalah MYSQL. Disini penulis sudah membuat sebuah user dan password melalui phpmyadmin. tujuan kita adalah menjebol user password MYSQL untuk mendapatkan akses ke database.



Perhatikan Gambar diatas.
- Isi Hydra Exe Path = c:\hydra\hydra.exe
Jika anda menyimpan Hydra pada path lain, isi sesuai path tersebut)

- IP Target = Localhost
karena target adalah komputer sendiri, maka diisi dengan localhost, anda bisa menentukan target sesuai keinginan anda. atau misalnya ada coba menyerang ke www.xcode.or.id )

- Output Option centang "Show Attempts" dan "Be Verbose" Untuk melihat proses penyerangan

- Protocol = Mysql
Sudah penulis jelaskan diatas bahwa kali ini kita sedang mencoba menerobos Mysql, bisa anda ganti menjadi ftp, smtp, telnet, pop3 dll

- User Login List = C:\hydra\file\user.txt
Anda juga bisa mengunakan "Single User Login" dan isi nama user tunggal. disini User login list berisi data

Code: Select all

admin
administrator
john
root
xcode
master
god
sysadmin
system

- Password List = C:\hydra\file\password.txt
file tersebut berisi password

Code: Select all

sysadmin
adminqwerty
qwerty
admin
administrator
john
root
master
1234
12345
123456
1234567
12345678
joker
god
toor
admin123

anda bisa mengganti file password.txt dengan koleksi wordlist anda

-Centang Write Found Login/Pass = C:\hydra\file\loginpasswordfound.txt
Untuk menyimpan dan melihat penetrasi yang berhasil

perintah yang anda dapatkan dari atas dalam mode CLI adalah

Code: Select all

c:\hydra\hydra.exe -V -v -o C:\hydra\file\loginpasswordfound.txt -t 36 -L C:\hydra\file\user.txt -P C:\hydra\file\password.txt localhost mysql 

Klik "Brute it" dan tunggu beberapa saat. Jika target yang anda coba adalah website online, mungkin anda perlu menyiapkan secangkir kopi untuk menunggu lebih lama)



Password sudah berhasil dipecahkan dimana pada localhost Mysql mengunakan autentikasi login: xcode password: 123456

Untuk melihat hasil login dan password yang berhasil didapatkan, bisa dilihat di C:\hydra\file\loginpasswordfound.txt

Untuk pembahasan lebih jauh, silahkan dibagikan disini, mungkin anda punya ide yang lebih baik dalam menggunakan John & Hydra Of Yogyafree.

Semoga berguna

Lihat Videonya

[nesta]

berarti kalo username n password tidak ada di wordlist tidak muncul ntar om?

[poni]

Bisa digunakan wordlist yg lebih lengkap, atau menggunakan Brute force generation MIN:MAX.

[Paman]

nice share ^_^

[inibudi]

[JTR] katanya bisa buat buka pasword rar??
bener pa gx ya om??
coba di cek om.
http://synacl.wordpress.com/2012/02/10/using-john-the-ripper-to-crack-a-password-protected-rar-archive/

mau di praktekin tapi masih bingung caranya.
heeee...

[poni]

untuk crack password file RAR, terlebih dahulu kita mesti mendefinisikan hash daripada file rar tersebut. ikuti langkah-langkah dibawah ini

sebagai bahan dasarnya, kita buat sendiri dengan sederhana supaya bisa dipraktekkan lebih mudah
[-] Buat sebuah file archive rar dengan nama john.rar dan protect dengan password xcode
[-] Simpan di C:\john\run\john.rar

jalankan JohnAndHydraOfYogyafree.exe (Disini saya asumsikan anda sudah menginstall tool ini dengan benar)



Perhatikan gambar diatas
[-] Set John exe path : menjadi C:\john\run\rar2john.exe - Disini kita menjalankan rar2john untuk mendefinisikan Hash daripada rar tersebut
[-] Set Hash File : menjadi C:\john\run\john.rar
[-] Kosongkan --format=
[-] Maka perintah yang anda jalankan adalah C:\john\run\rar2john.exe C:\john\run\john.rar --format=
[-] Klik Crack it

Hasil hash yang anda dapatkan dari file john.rar yang kita buat tadi adalah : $rar3$*0*9585f2c322e4f431*202304d767d2cfa526bf12a126623fda

[-] Set Hash File : menjadi C:\john\run\passwd.txt
[-] Klik Edit dan masukkan hash $rar3$*0*9585f2c322e4f431*202304d767d2cfa526bf12a126623fda ke dalam file C:\john\run\passwd.txt
[-] Set John Exe path : menjadi C:\john\run\john.exe
[-] set --format= : menjadi rar
[-] Jika anda ingin menggunakan wordlist, beri centang pada --wordlist=C:\john\run\password.lst , tapi perlu diketahui bahwa password bisa di crack jika di dalam file C:\john\run\password.lst terdapat password yang cocok (anda bisa menyisipkan kata xcode ke dalam file C:\john\run\password.lst sebagai percobaan).
perintah yang anda jalankan utk metode ini adalah
C:\john\run\john.exe C:\john\run\passwd.txt --format=rar --wordlist=C:\john\run\password.lst
[-] Jika anda menggunakan metode bruteforce, hilangkan tanda centang --wordlist=
perintah yang anda jalankan utk metode ini adalah
C:\john\run\john.exe C:\john\run\passwd.txt --format=rar
[-] Klik Crack it dan tunggu beberapa saat.


Setelah password berhasil di crack, anda bisa melihat di layar bahwa password rar sudah ditampilkan. atau anda bisa klik read pada C:\john\run\john.pot untuk melihat hasilnya

selamat mencoba

[poni]

anda bisa coba buat file rar dengan password lain utk memastikan tutor ini bukan fake (palsu), karena ada beberapa user yang belum mencoba atau mencoba tapi gagal dan langsung memvonis "fake"

[ND'0207]

kenapa setelah saya coba tetapi "The system cannot find the path specified"
mohon penjelasannya
terimakasih

[gprakasa]

ijin sedot ilmunya gan