暴力破解工具之hydra

admin 2025年1月28日02:43:27评论56 views字数 886阅读2分57秒阅读模式

什么是hydra

Hydra 是一个蛮力在线密码破解程序,一个快速的系统登录密码“黑客”工具。

Hydra 可以遍历列表并 “暴力破解” 一些身份验证服务。想象一下,尝试在特定服务(SSH、Web Application Form、FTP 或 SNMP)上手动猜测某人的密码,我们可以使用 Hydra 运行密码列表并加快此过程,确定正确的密码。

暴力破解工具之hydra

怎么使用hydra

爆破ssh

语法:

hydra -l <username> -P <full path to pass> MACHINE_IP -t 4 ssh

选项

选择
描述
-l
指定用于登录的 (SSH) 用户名
-P
表示密码列表
-t
设置要生成的线程数

爆破web表单

我们也可以使用 Hydra 来暴力破解 Web 表单。您必须知道它发出的是哪种类型的请求;通常使用 GET 或 POST 方法。您可以使用浏览器的 network 选项(在开发人员工具中)查看请求类型或查看源代码。

语法

sudo hydra <username> <wordlist> MACHINE_IP http-post-form "<path>:<login_credentials>:<invalid_response>"

选项

选项
描述
-l
(Web 表单)登录的用户名
-P
要使用的密码列表
http-post-form
表单的类型为 POST
<login_credentials>
用于登录的用户名和密码,例如, username=^USER^&password=^PASS^
<invalid_response>
登录失败时的响应的一部分
-V
每次尝试的详细输出

示例

hydra -l <username> -P <wordlist> MACHINE_IP http-post-form "/:username=^USER^&password=^PASS^:F=incorrect" -V

解释:

  • 登录页面只有 /,即主 IP 地址。
  • 用户名是输入用户名的表单字段
  • 指定的用户名将替换 ^USER^
  • 密码是输入密码的表单字段
  • 提供的密码将替换 ^PASS^
  • 最后,F=incorrect 是登录失败时出现在服务器回复中的字符串

原文始发于微信公众号(泷羽Sec-Z1eaf):暴力破解工具之hydra

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月28日02:43:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   暴力破解工具之hydrahttps://cn-sec.com/archives/3679864.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息