image

Accede a bootcamps ilimitados y a más de 650 cursos para siempre

70
%OFF
Lista de contenido
Article image
Wagner Santos
Wagner Santos20/03/2026 18:41
Compartir
Luizalabs - Back-end com Python - 2º EdiçãoRecomendado para tiLuizalabs - Back-end com Python - 2º Edição

Do Reconhecimento à Exploração: Lições de um Ataque de Força Bruta em Ambiente Controlado

    Do Reconhecimento à Exploração: Lições de um Ataque de Força Bruta em Ambiente Controlado

    A gente costuma ouvir que “a segurança de um sistema é tão forte quanto seu elo mais fraco”. Na prática, esse elo quase nunca é um código complexo ou uma falha sofisticada — na maioria das vezes, são as credenciais.

    Participando de um bootcamp de Riachuelo - Cibersegurança, me deparei com algo que já é amplamente discutido, mas ainda muito negligenciado: o básico ainda quebra sistemas.

    Senhas fracas, padrões previsíveis e falta de proteção contra tentativas automatizadas continuam sendo portas abertas. E foi exatamente isso que explorei em um laboratório prático utilizando o Kali Linux.

    1. Antes de atacar, é preciso entender

    Um erro comum de quem está começando em segurança é querer ir direto para o ataque.

    Mas esse desafio deixou claro: o sucesso está na fase de reconhecimento.

    Utilizando o Nmap, consegui mapear os serviços ativos da máquina alvo. Mais do que portas abertas, o que fez diferença foi descobrir as versões dos serviços.

    Depois, com o Enum4Linux, consegui extrair usuários válidos do sistema.

    Isso reduziu significativamente o esforço do ataque.

    2. Quando o básico funciona (e muito bem)

    Com usuários em mãos, parti para a exploração usando o Medusa.

    No serviço FTP, o resultado foi:

    Usuário: msfadmin

    Senha: msfadmin

    Isso reforça que credenciais padrão ainda são um dos maiores problemas de segurança.

    3. Nem sempre é sobre força, mas estratégia

    No SMB, utilizei Password Spraying — testando uma senha comum em vários usuários.

    Isso torna o ataque mais silencioso e eficiente.

    4. Quando a ferramenta não acompanha o cenário

    Ao testar uma aplicação web com DVWA, o Medusa retornava sucesso em várias tentativas incorretas.

    Isso acontece porque aplicações web utilizam sessões, cookies e tokens CSRF.

    Ferramentas como Burp Suite ou OWASP ZAP são mais adequadas nesse contexto.

    5. Pensar como atacante para defender melhor

    Essa experiência mostrou a importância de pensar como atacante para melhorar a defesa.

    Boas práticas incluem:

    - MFA

    - bloqueio de tentativas

    - monitoramento de logs

    - uso de ferramentas como Fail2Ban

    Conclusão

    A segurança muitas vezes falha no básico.

    Mais do que aprender ferramentas, é essencial entender como os ataques funcionam.

    Pensar como atacante e agir como defensor é fundamental.

    Repositório:

    https://github.com/wagnersoaressantos/Simulando-um-Ataque-de-Brute-Force-de-Senhas-com-Medusa-e-Kali-Linux

    Sobre o autor:

    Olá! Sou Wagner Soares, estudante de Sistemas de Informação pela UFRPE e entusiasta da tecnologia. Atualmente, estou como Embaixador no programa Campus Expert da DIO, busco unir minha experiência no setor público com os novos aprendizados do mundo digital para impactar minha comunidade acadêmica e levar ao trabalho ferramentas e soluções que aprendi.


    Compartir
    Recomendado para ti
    Lupo - Primeiros Passos com Inteligência Artificial
    Almaviva - Back-end com Java & QA
    Luizalabs - Back-end com Python - 2º Edição
    Comentarios (0)
    Lee abajo
    Roberto Nascimento
    Breve Intro. às Streams and Lambda ExpressionsRoberto Nascimento - 20 de Março
    #Java
    Tiago Tavares
    Freelance na Tech: O Caminho da Teoria à Prática com Karol AttekitaTiago Tavares - 20 de Março
    #Comunicação Assertiva#Marketing Pessoal
    Juan Ibanez
    A Virada de Chave que Veio da ProatividadeJuan Ibanez - 20 de Março
    #React Native#Python#React#GoLang
    Recomendado para tiLuizalabs - Back-end com Python - 2º Edição