Давайте сначала рассмотрим общий синтаксис: hydra опции логины пароли -s порт адрес_цели модуль параметры_модуля. Программа THC hydra Перед тем как мы начнем рассматривать как пользоваться htc hydra, нам необходимо разобраться какие параметры команде передавать и
hydra как это делать. Тестирование уязвимостей важно для владельцев веб-сайтов и серверов. . Синтаксис ее такой: минимальная_длина:максимальная_длина:набор_символов С максимальным и минимальным количеством, я думаю все понятно, они указываются цифрами. А именно все пароли в диапазоне ; 4:8:1 пароль
биткоин от четырех до восьми символов, только из цифр; 4:5:aA1. Это не очень быстро, но для простых паролей достаточно опасно. Но проще всего открыть исходный код формы и посмотреть что она из себя представляет. В наборе символов нужно указать a для всех букв в нижнем регистре, A для букв в верхнем регистре и 1 для всех цифр от 0. Вы без труда во всем этом разберетесь когда освоите консольный вариант). Log -V -s 80 http-get /login/ В приведенном примере программа будет подбирать пароль из подключенного файла-списка к логину admin. А вот уже их подстановка и передача на удаленный сервер настраивается с помощью строки параметров модуля. Перебор паролей веб-форм Несколько сложнее запускается перебор для веб-форм. Команда будет выглядеть таким образом: hydra -l admin -P john. Gz Следующие действия включают распаковку, компиляцию и установку приложения: tar xvpzf thc-hydra-v8.4.tar. Графическая оболочка (xHydra) упрощает применение
биткоин утилиты, когда приходится постоянно тестировать различные хосты, но при «одиночном» запуске обычно достаточно консоли. Получается, что в командной строке нужно указывать опцию http-post-form. В минуту. Синтаксис строки параметров будет выглядеть вот так: адрес _страницы:имя_поля_логинаuser имя_поля_пароляpass произвольное_полезначение:строка_при_неудачном_входе Строчка запуска программы будет выглядеть вот так: hydra -l user -P /john. Это были основные опции, которые, вы будете использовать. Она значительно автоматизирует процесс подбора, более того, она использует ту же самую hydra, но сама вводит необходимые ключи и даже не нужно искать файлы с именами и паролями, поскольку они поставляются вместе с программой. Естественно, что файлы с паролями нужно заготовить. Запускается тестирование для FTP командой: hydra -l admin -P john. Txt ftp Если подбор по словарю не сработал, можно применить перебор с автоматической генерацией символов, на основе заданного набора. Далее мы просто указываем протокол и айпи цели. Log -V -s 80 http-post-form wp-admin:loguser pwdpass:Incorrect Username or Password" Переменные user и pass содержат имя пользователя и пароль взятые из словаря, также, возможно, придется передать дополнительные параметры, они передаются также, только значения будут фиксированы. Ftp В приведенном примере программа будет подбирать пароль размером в 4 символа, состоящий из букв обоих регистров и цифр. Это довольно популярная утилита для тестирования безопасности, поэтому вы можете найти ее в официальных репозиториях. Главное окно программы выглядит вот так: Здесь есть несколько вкладок: Target цели атаки; Passwords списки паролей; Tuning дополнительные настройки; Specific настройки модулей; Start запуск и просмотр статуса атаки. По приведенной команде будет скачана последняя стабильная версия программы. Здесь несложно догадаться, что это логин и пароль. Далее рассмотрим наиболее востребованные функции приложения. Особенность инструмента в том, что здесь выполняется перебор не по хэшу, а напрямую с помощью запросов к серверу, это значит что вы сможете проверить правильно ли настроены фаерволы, блокируются ли такие попытки, а также можете ли вы вообще определить такую атаку на сервер. Метод подключения http-GEN, IP-адрес целевого хоста , порт.