Boñigo Shop

Hydra Login Crack Mision 01

Reto Hydra #01 · wp.cybershellgame.net

Hydra Challenge · Week #01

wp.cybershellgame.net · Future Retro Neon Tron

🧪 Pentest Lab Controlado

🧠 Aprendizaje Ético

💾 Brute Force · 4 dígitos

Bienvenid@ al laboratorio de Hydra de cybershellgame.net. ⚡

En este escenario controlado vamos a atacar el portal https://login.cybershellgame.net, que protege el acceso con usuario y contraseña.

La historia es sencilla: solo el usuario admin puede entrar y su contraseña es una combinación de 4 cifras numéricas. El password cambia cada semana, el usuario admin no.

Tu misión será: entender el flujo, generar un diccionario de 0000 a 9999, lanzar Hydra y encontrar el password de esta semana. Cuando lo logres, deja tu respuesta en los comentarios del post. 😉

Contexto del Reto

🎯 Objetivo: romper el login, entender la defensa

Este reto está diseñado como entorno de práctica de pentesting real en un sitio bajo control de Zcom Korman.eth y la comunidad.

  • Aprenderás el concepto de fuerza bruta con diccionario.
  • Verás cómo un password débil (4 dígitos) es trivial de romper.
  • Entrenarás la mente para pensar como atacante y luego como defensor.

IMPORTANTE ⚠️
Los ejemplos de esta página son para uso educativo en este entorno controlado. No uses estas técnicas contra sistemas donde no tengas permiso explícito. En el mundo real, hacer fuerza bruta sin autorización es ilegal.

Setup Básico

Para seguir el reto necesitas:

  • Una máquina Linux (Kali, Debian, etc.).
  • Conectividad a Internet hacia login.cybershellgame.net.
  • La herramienta Hydra instalada (paquete de tu distro).
  • Un editor de texto o lenguaje de scripting para crear el diccionario.

No entraremos en detalles de instalación de herramientas; el enfoque es entender el flujo de ataque.

01 Analizar el formulario de login 🔍

Antes de lanzar Hydra hay que entender qué se está atacando.

  • Abre https://login.cybershellgame.net en el navegador.
  • Identifica si se trata de:
    • Autenticación HTTP básica (popup del navegador), o
    • Formulario HTML clásico (usuario / password / botón).
  • Observa el endpoint de envío (URL de acción del formulario), el nombre de los campos (por ejemplo user, pass) y el mensaje de error cuando el login falla.

Esa información es la que luego se “traduce” a la sintaxis de Hydra (módulo http-form o similar).

02 Crear el diccionario 0000–9999 📖

La pista del reto dice que el password es una combinación de 4 cifras numéricas. Eso reduce el problema a 10.000 posibles claves:

# Ejemplo conceptual de contenido del diccionario
0000
0001
0002
0003
...
9998
9999

Puedes generar este archivo con cualquier lenguaje o incluso a mano con tu herramienta favorita. La idea es:

  • Crear un archivo de texto, por ejemplo dic_0000_9999.txt.
  • En cada línea, escribir un número de 4 cifras, incluyendo ceros a la izquierda.

El resultado será tu wordlist específica para este reto, optimizada para el espacio de búsqueda que sabemos que es válido.

03 Configurar Hydra para el ataque 🐍

Hydra es una herramienta de fuerza bruta capaz de probar muchas combinaciones de usuario y contraseña contra distintos servicios (HTTP, FTP, SSH, etc.).

Para este laboratorio:

  • El usuario será siempre admin.
  • Las contraseñas a probar serán las de tu dic_0000_9999.txt.
  • El objetivo será el servicio web que hay detrás de login.cybershellgame.net.

A nivel conceptual, Hydra se invoca con algo de este estilo (forma genérica, no es un comando literal para copiar/pegar):

# Esquema conceptual (no usar sin adaptarlo)
hydra -l admin -P dic_0000_9999.txt \
  <objetivo> <módulo-http-que-corresponda> \
  <parámetros-que-describen-el-formulario-y-el-mensaje-de-error>

Tu trabajo como pentester es:

  • Consultar la documentación de Hydra (man hydra o la wiki del proyecto).
  • Traducir los datos del formulario (URL, campos, mensaje de error) a los parámetros del módulo HTTP correspondiente.
  • Lanzar la herramienta y monitorizar hasta que Hydra indique qué password ha tenido éxito.

04 Interpretar el resultado ✅

Cuando todo está bien configurado, Hydra mostrará un resultado indicando que ha encontrado una combinación válida:

  • Usuario: admin
  • Contraseña: [aquí aparecerá el código de 4 cifras]

Ese será el password válido de esta semana para el reto. Recuerda que, en el laboratorio, el password se reinicia semanalmente, así que cada semana el desafío vuelve a empezar. 🔁

05 Deja tu solución en los comentarios 💬

Cuando consigas entrar como admin, ve al post correspondiente en wp.cybershellgame.net y deja un comentario con:

Formato sugerido del comentario:

🔐 Semana: #01
👤 Usuario: admin
🧩 Password encontrado: XXXX (sustituye por tu código)
🧠 Herramienta usada: Hydra + diccionario 0000–9999
💭 Notas: ¿cuánto tardó? ¿qué has aprendido?

Así entre tod@s iremos construyendo un historial vivo de aprendizaje sobre ataques y defensas en aplicaciones web.

📺 Solución guiada · Primera semana

En este vídeo se muestra una resolución completa del reto de la primera semana, paso a paso, incluyendo el análisis del formulario, la creación del diccionario y la interpretación del resultado de Hydra.

Recuerda: el objetivo de este laboratorio no es solo “romper” el login, sino entender por qué un password de 4 dígitos es una mala idea y cómo deberíamos diseñar defensas mejores (bloqueo por intentos, captchas, 2FA, passwords largos, etc.).

SaludOS 🛰️
Zcom Korman.eth & CyberShellGame NetLab

META · CYBERSHELLGAME.NET · FUTURE RETRO NEON TRON