WOJSKOWA  AKADEMIA  TECHNICZNA  

im. Jarosława Dąbrowskiego 

WYDZIAŁ  CYBERNETYKI 

 
 
 
 
 

 

 
 

PRZYGOTOWAĆ atak zdalnego zgadywania hasła (brute force lub 

słownikowy) 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Autor: 
 

Kierownik pracy: 

Łukasz Śledzik 
 

dr inż. Adam Patkowski 

 
 
 
 

1.

 

Symulacja ataku na adres 

http://symulacja.wcy.wat.edu.pl

 

 
 
Pierwszą czynnością było wybranie aplikacji umożliwiającej przeprowadzenie ataku. 

Moim wyborem była aplikacja Hydra, która pozwala przeprowadzić atak zarówno metodą 
brute-force jak i metodą z wykorzystaniem słownika. Do sprawdzenia szczegółowych 
informacji strony internetowej użyłem przeglądarki Mozilla Firefox z rozszerzeniem Live 
HTTP Headers, które umożliwiło odczytanie niektórych informacji niedostępnych w 
podglądzie źródła strony. Informacje te zaznaczone są na screenach na czerwono. 

 

 

 
Po odczytaniu potrzebnych informacji w programie Hydra zrealizowałem poniższe polecenie: 
 
root@root:~# hydra -L /root/Desktop/Polish.txt -P /root/Desktop/Polish.txt -t 4 
symulacja.wcy.wat.edu.pl http-post-form "/form-
73f6590caf26867fc59457d3de7d8a15&form_id:usrname=^USER^&pass=^PASS^&submit=
Zaloguj:Niepoprawna" –vV 
 
Rezultat jest widoczny poniżej: 
 
 
 
 

 
 

 

Na powyższym slajdzie możemy zauważyć, że na krótką chwilę został uruchomiony atak słownikowy 
metodą http-post-form z parametrem 4 zadań na cykl. Hydra obsługuje takie metody jak: TELNET, 
FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, LDAP2, LADP3, 
SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, REXEC, SOCKS5, VNC, POP3, IMAP, NNTP, 
PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SSH2, SNMP, CVS, Cisco AAA.  
Jest to doskonałe narzędzie do przeprowadzanie ataków na wiele różnych serwerów i metod 
logowania. 
 
 
2.

 

Symulacja ataku na adres 

http://www.wcy.wat.edu.pl/administrator/

  

 
Tak jak w pierwszym przypadku zostały użyte te same narzędzia do pozyskania informacji o 

stronie: 

 
 

 

 

Wykonane polecenie:  
root@root:~# hydra -L /root/Desktop/Polish.txt -P /root/Desktop/Polish.txt -t 4 www.wcy.wat.edu.pl 
http-post-form 
"/administrator/index.php:usrname=^USER^&pass=^PASS^&submit=WEJD%AF:Niepoprawna" 
 

Rezultat wykonanego polecenia: 
 

 

 
Na slajdzie widzimy atak słownikowy, który został po chwili przerwany. Podejrzewam, że gdyby pozostawić atak aktywny przy odpowiednio 
dużym słowniku udało by się uzyskać poprawny login i hasło w obydwu przypadkach ataków.