Hydra es una de las herramientas más potentes para realizar ataques de fuerza bruta contra diversos servicios. En esta guía, aprenderás cómo utilizar Hydra para realizar ataques efectivos y automatizados contra formularios web, servicios SSH y otros protocolos. Por cierto el logo de hydra esta brutal, estoy por tatuármelo en el masetero.
¿Qué es Hydra y para qué sirve?
Hydra es una herramienta de código abierto diseñada para realizar ataques de fuerza bruta contra múltiples protocolos y servicios. Se utiliza para probar la seguridad de credenciales en servicios como:
SSH
HTTP/HTTPS (formularios de inicio de sesión)
FTP
RDP
SMB
POP3/IMAP
MySQL/PostgreSQL
Si un sistema no cuenta con medidas adecuadas para prevenir ataques de fuerza bruta (como bloqueo de intentos fallidos o autenticación de dos factores), Hydra puede ser capaz de encontrar credenciales válidas de manera rápida y eficiente.
Cómo instalar Hydra
Si usas Kali Linux, Hydra ya viene instalado por defecto. Si no lo tienes, puedes instalarlo con:
sudo apt install hydra
Para verificar la instalación, ejecuta:
hydra -h
Esto mostrará la lista de opciones y parámetros disponibles.
🔺Ataque de Fuerza Bruta a un Formulario de Inicio de Sesión HTTP
Uno de los usos más comunes de Hydra es atacar formularios web con autenticación. El siguiente comando intenta romper la seguridad de un formulario de inicio de sesión con una lista de contraseñas:
hydra -l molly -P /usr/share/wordlists/rockyou.txt 10.10.243.74 http-post-form «/login:username=^USER^&password=^PASS^:F=incorrect» -V
🔺Desglose del comando
- hydra → Llamamos a la herramienta.
- -l molly → Definimos el usuario objetivo.
- -P /usr/share/wordlists/rockyou.txt → Especificamos la lista de contraseñas que se probarán.
- 10.10.243.74 → IP de la víctima.
- http-post-form → Indicamos que atacaremos un formulario HTTP con método POST.
- «/login:username=^USER^&password=^PASS^:F=incorrect» → Definimos la estructura del formulario.
- ^USER^ y ^PASS^ → Se reemplazan con los valores de usuario y contraseña de la lista.
- F=incorrect → Texto que aparece cuando el login falla (cambia según la web).
- -V → Activa el modo verboso para ver cada intento en tiempo real.
Consejo: Antes de lanzar un ataque, es recomendable analizar la estructura del formulario web con herramientas como Burp Suite o con el código fuente de la página.
Bueno aquí debajo te enseño como realice el ataque explicado anteriormente:
🔺Ataque de Fuerza Bruta a SSH con Hydra
Hydra también permite realizar ataques de fuerza bruta a servidores SSH, un método común para intentar obtener acceso remoto.
Ejecutamos el siguiente comando:
hydra -l molly -P /usr/share/wordlists/rockyou.txt 10.10.243.74 -t 4 ssh
🔺Explicación del comando
- -l molly → Usuario objetivo.
- -P /usr/share/wordlists/rockyou.txt → Diccionario de contraseñas.
- 10.10.243.74 → IP del servidor objetivo.
- -t 4 → Número de threads (intentos simultáneos).
- ssh → Protocolo a atacar.
IMPORTANTE: Algunos servidores tienen mecanismos de defensa como fail2ban, que pueden bloquear la IP tras varios intentos fallidos.
Aquí debajo os dejo un video demostración del ataque:
🐍Otros ataques con Hydra
🔺Ataque de fuerza bruta a FTP
Si el servidor tiene un servicio FTP activo, podemos probar credenciales con:
hydra -l usuario -P diccionario_de_contraseñas.txt ftp://ip victima
🔺Ataque a RDP (Escritorio Remoto de Windows)
hydra -l usuario -P diccionario_de_contraseñas.txt ip victima rdp
🔺Ataque a SMB (Comparticiones de Windows)
hydra -l usuario -P diccionario_de_contraseñas.txt ip victima smb
Consejos para Maximizar la Efectividad de Hydra
Elegir una buena lista de contraseñas: Usa diccionarios relevantes como RockYou (/usr/share/wordlists/rockyou.txt) o listas más personalizadas.
Analizar los tiempos de respuesta: Algunas páginas web pueden tardar más en responder cuando se introduce una contraseña incorrecta.
Evitar bloqueos de IP: Prueba con proxies o usa VPN para cambiar la dirección IP si hay detección de ataques.
Optimizar el número de threads (-t): No uses valores demasiado altos en servicios con limitaciones de conexión.
Conclusiones
Como conclusiones me gustaría añadir que saber usar esta herramienta nos será de especial importancia en exámenes como el eJPTv2 ya que la mayoría de intrusiones son a través de fuerza bruta, así que deberíamos aprenderos su uso de la A a la Z para situaciones como esa.
Por cierto….
Este ultimo año he andado un poco liado con mis proyectos por lo que no he podido prestar atención a mi perro.
Por lo que decidí dejárselo a mi madre para que lo cuidase….
Resulta que esta semana me envió una foto de el y le tuve que echar la bronca porque el maldito perro se puso tan gordo que los abrigos que tiene ahora se los he tenido que pillar en la sección de adultos en Zara, ella dice que exagero pero judgar vosotros.
Comparte este post para que la gente opine de esta historia.
