什么是hydra
Hydra 是一个蛮力在线密码破解程序,一个快速的系统登录密码“黑客”工具。
Hydra 可以遍历列表并 “暴力破解” 一些身份验证服务。想象一下,尝试在特定服务(SSH、Web Application Form、FTP 或 SNMP)上手动猜测某人的密码,我们可以使用 Hydra 运行密码列表并加快此过程,确定正确的密码。
怎么使用hydra
爆破ssh
语法:
hydra -l <username> -P <full path to pass> MACHINE_IP -t 4 ssh
选项
|
|
---|---|
|
|
|
|
|
|
爆破web表单
我们也可以使用 Hydra 来暴力破解 Web 表单。您必须知道它发出的是哪种类型的请求;通常使用 GET 或 POST 方法。您可以使用浏览器的 network 选项(在开发人员工具中)查看请求类型或查看源代码。
语法
sudo hydra <username> <wordlist> MACHINE_IP http-post-form "<path>:<login_credentials>:<invalid_response>"
选项
|
|
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
示例
hydra -l <username> -P <wordlist> MACHINE_IP http-post-form "/:username=^USER^&password=^PASS^:F=incorrect" -V
解释:
-
登录页面只有 /,即主 IP 地址。 -
用户名是输入用户名的表单字段 -
指定的用户名将替换 ^USER^ -
密码是输入密码的表单字段 -
提供的密码将替换 ^PASS^ -
最后,F=incorrect 是登录失败时出现在服务器回复中的字符串
原文始发于微信公众号(泷羽Sec-Z1eaf):暴力破解工具之hydra
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论