Program na stiahnutie hydra.

Tento nástroj - THC-Hydra - je určený len na právne účely.

Program sa perfektne kompiluje a beží na Linuxe, Windows/Cygwin, Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) a OSX. Najlepšie pre používateľov Kali Linux Už majú nainštalovaný program.

V súčasnosti sú podporované nasledujúce protokoly: Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 a v2), SSHKEY, Subversion , Teamspeak (TS2), Telnet, VMware-Auth, VNC a XMPP.

To znamená, že pravda je veľa.

Syntax hydra:

Hydra [[[-l PRIHLÁSENIE|-L SÚBOR] [-p HESLO|-P SÚBOR]] | [-C SÚBOR]] [-e nsr] [-o SÚBOR] [-t ÚLOHY] [-M SÚBOR [-T ÚLOHY]] [-w ČAS] [-W ČAS] [-f] [-s PORT] [-x MIN:MAX:CHARSET] [-SuvVd46] ]

Získali ste viac porozumenia, keď ste videli syntax?)) Nebojte sa, teraz zvážime možnosti THC-Hydra a potom sa ponoríme do pochopenia práce s týmto programom.

možnosti hydra:

R obnoviť predchádzajúcu prerušenú/prerušenú reláciu -S spustiť SSL pripojenie-s PORT ak služba nie je na predvolenom porte, potom tu môžete nastaviť port -l PRIHLÁSENIE alebo -L SÚBOR s PRIHLÁSENIAMI (mená), alebo načítať niekoľko prihlásení zo SÚBORU -p HESLO alebo -P SÚBOR s heslami na výpočet , alebo načítajte niekoľko hesiel zo SÚBORU -x MIN:MAX:CHARSET vygenerujte heslá pre hrubú silu, napíšte "-x -h" pre pomoc -e nsr "n" - skúste s prázdnym heslom, "s" - prihláste sa ako heslo a/ alebo "r" - obrátenie poverení -u slučka na používateľa, nie na heslá (efektívne! implicitné s možnosťou -x) -C formát SÚBORU, kde "login:heslo" je oddelené dvojbodkami namiesto -L/-P možnosť -M útoky , jeden záznam na riadok, za dvojbodkou ":" môžete zadať port -o SÚBOR zapísať nájdené páry prihlasovacie meno / heslo do SÚBORU namiesto štandardného výstupu -f / -F ukončenie pri uhádnutí páru prihlasovacie meno / heslo (- M: -f pre hostiteľa , -F globálne) -t ÚLOHY počet paralelne spustených ÚLOH (na hostiteľa, predvolená hodnota: 16) -w / -W ČAS čas čakania čas odozvy (32 sekúnd) / medzi pripojeniami na stream -4 / -6 preferovať adresy IPv4 (predvolené) alebo IPv6 -v / -V / -d verbálny režim / pri každom pokuse zobraziť prihlasovacie meno+heslo / režim ladenia -q netlačiť správy o chybe pripojenia -U podrobnosti o používaní serverového modulu cieľ: DNS, IP alebo 192.168.0.0/24 (táto možnosť ALEBO -M) služba služby na hacknutie (pozri zoznam podporovaných protokolov) OPT niektoré servisné moduly podporujú ďalší vstup (- U pre odkaz na modul)

Ako používať hydra

Heslá pre Hydra

THC-Hydra prichádza bez prihlasovacích údajov/hesiel. Musíme ich niekde dostať sami. A tu nám pomôže nedávny článok „“. Preštudujte si to, stiahnite si heslá.

Viac súborov s predvolenými heslami môže vygenerovať utilita z hydra - dpl4hydra.sh. Ak chcete zistiť, ktoré zariadenia sú v databáze, prejdite na

Skryté pred hosťami

.

Aby sme mohli používať program dpl4hydra.sh na Kali Linuxe, musíme si ho najprv stiahnuť (autori Kali ho z nejakého dôvodu nezahrnuli do štandardnej inštalácie).

Wget https://raw.githubusercontent.com/vanhauser-thc/thc-hydra/master/dpl4hydra.sh

Teraz vytvoríme súbory potrebné na fungovanie programu:

Dotknite sa /usr/local/etc/dpl4hydra_full.csv /usr/local/etc/dpl4hydra_local.csv

Spustenie po prvýkrát

Sh dpl4hydra.sh obnoviť

Teraz môžete urobiť toto:

Sh dpl4hydra.sh všetky

stiahnuť predvolené heslá pre všetky značky. Alebo môžete zadať konkrétnu značku, napríklad ma veľmi zaujíma populárny smerovače D-link, potom píšem

Sh dpl4hydra.sh d-link

Teoreticky by sa mal vygenerovať súbor s predvolenými heslami pre zariadenia D-Link, ale kvôli niektorým chybám analýzy sa tak nestane. Nech nás to nerozčuľuje, veď link na článok s heslami som už dal.

GUI Hydra

Mimochodom, pre Používatelia Linuxu k dispozícii GUI(GTK gui), na spustenie napíšte
Použitie Hydry príkazový riadok

Pre použitie príkazového riadku je syntax:

  • Ak chcete zaútočiť na jeden cieľ alebo sieť, môžete použiť nový štýl://
hydra [niektoré možnosti príkazového riadku] PROTOCOL://TARGET:PORT/OPTIONS
  • Stará stará syntax je tiež podporovaná a ak chcete, môžete dodatočne nastaviť ciele z textového súboru, *musíte* použiť túto syntax:
hydra [niektoré možnosti príkazového riadku] [-s port] MOŽNOSTI CIEĽOVÉHO PROTOKOLU
Prostredníctvom možností príkazového riadka určíte, ktoré prihlasovacie údaje a heslá sa majú vyskúšať, či použiť SSL, koľko vlákien na útok atď.

PROTOKOL je protokol, na ktorý chcete zaútočiť, ako napríklad ftp, smtp, http-get alebo ktorýkoľvek z dostupných
TARGET je cieľové vozidlo, na ktoré chcete zaútočiť
TARGET je cieľ, na ktorý chcete zaútočiť
OPTIONS dodatočné hodnoty, ktoré sú nastavené pre modul PROTOCOL

Najprv si vyberte svoj cieľ

Existujú tri spôsoby, ako nastaviť cieľ útoku:

  1. jeden cieľ na príkazovom riadku: stačí zadať IP alebo DNS adresu
  2. rozsah podsiete na príkazovom riadku:
  3. zoznam hostiteľov v textovom súbore: jeden hostiteľ na riadok (podrobnosti nižšie)
Po druhé - vyberte si protokoly

Pokúste sa vyhnúť telnetu, pretože nie je možné spoľahlivo určiť, či je pripojenie úspešné alebo nie. Pomocou skenera portov zistite, ktoré protokoly sú na cieli povolené.

Po tretie - skontrolujte, či má modul Extra možnosti

PROTOKOL Hydra-U
Napríklad,

Štvrtý – cieľový prístav

Nie je to povinné! Ak vzdialený počítač používa predvolený port pre túto službu, potom samotný program hydra vie, ktoré porty sa používajú pre PROTOKOLY

Ak ste zadali použitie SSL (možnosť „-S“), štandardne sa použije normálny port SSL.

Ak použijete zápis "://", musíte použiť hranaté zátvorky, ak chcete útoky zacieliť pomocou adries IPv6 alebo CIDR ("192.168.0.0/24")

hydra [niektoré možnosti príkazového riadka] ftp:/// hydra [niektoré možnosti príkazového riadka] -6 smtp:///NTLM

Upozorňujeme, že hydra útočí iba proti IPv4!

Ak chcete útočiť na adresy IPv6, musíte pridať možnosť „-6“. Potom budú všetky útoky na IPv6.

Ak chcete zadať ciele prostredníctvom textového súboru, nemôžete použiť zápis //, použite starý štýl a zadajte protokol (a možnosti modulu):

Hydra [niektoré možnosti príkazového riadku] -M targets.txt ftp

Môžete tiež určiť port pre každý cieľ pridaním ":<порт>' za každou cieľovou položkou v súbore, napríklad:
Upozorňujeme, že ak chcete pripojiť ciele IPv6, musíte zadať možnosť -6 a adresy IPv6 musíte v súbore umiestniť do hranatých zátvoriek (!) takto:

Foo.bar.com target.com:21:8080

Prihlasovacie mená a heslá Hydra

Existuje veľa rôznych možností, ako zaútočiť pomocou prihlasovacích údajov a hesiel.

Pomocou volieb -l pre prihlásenie a -p pre heslo môžete povedať hydre, aby na vyskúšanie použila iba toto prihlasovacie meno a/alebo heslo.

Pomocou -L pre prihlasovacie údaje a -P pre heslá zadáte textové súbory s položkami, napríklad:

Hydra -l admin -p heslo ftp://localhost/ hydra -L default_logins.txt -p test ftp://localhost/ hydra -l admin -P common_passwords.txt ftp://localhost/ hydra -L logins.txt - Ppasswords.txt ftp://localhost/

Okrem toho môžete vyskúšať aj heslá na základe prihlásení, to sa vykonáva pomocou možnosti „-e“.

Možnosť „-e“ má tri možnosti:

  • s - skúste sa prihlásiť ako heslo
  • n - skúste prázdne heslo
  • r - permutácia znakov v prihlásení zozadu dopredu a výsledné slovo použiť ako heslo
Napríklad, ak sa chcete pokúsiť prihlásiť ako heslo a prázdne heslo, musíte na príkazovom riadku zadať "-e sn".

Pre heslo existuje okrem -p / -P niekoľko ďalších režimov:

Môžete použiť textový súbor, v ktorom sú prihlasovacie údaje a heslá oddelené dvojbodkami, napríklad:

admin:test hesla:test foo:bar

Toto je populárny štýl na uvádzanie predvolených hodnôt účtu. V rovnakej forme generuje súbory dpl4hydra.sh (generátor predvolených prihlasovacích údajov a hesiel pre hydra).

Takýto textový súbor musíte použiť s voľbou -C, všimnite si, že v tomto režime nemôžete použiť voľby -l/-L/-p/-P (hoci -e nsr je možné).

Príklad:

Hydra -C default_accounts.txt ftp://localhost/

Nakoniec je tu režim hrubej sily s voľbou -x (nedá sa použiť s -p/-P/-C):

X min_length: max_length: character_set

Sada znakov definuje „a“ pre malé písmená, „A“ pre veľké písmená, „1“ pre čísla a pre všetko ostatné použite ich skutočné znaky.

Príklady:

  • -x 1:3:a generuje heslá s dĺžkou 1 až 3 znaky, ktoré pozostávajú iba z malých písmen
  • -x 2:5:/ generuje heslá dlhé 2 až 5 znakov, ktoré obsahujú iba lomky
  • -x 5:8:A1 generuje heslá dlhé 5 až 8 znakov s veľkými písmenami a číslami
Príklad:

Hydra -l ftp -x 3:3:a ftp://localhost/

Špeciálne možnosti pre moduly

Prostredníctvom tretieho parametra príkazového riadka (TARGET SERVICE OPTIONS) alebo po prepínači -m môžete modulu odovzdať jednu voľbu.

Mnohé moduly ich využívajú a niektoré ich vyžadujú!

Získať Ďalšie informácie podľa možnosti modulu, typu

Hydra-U<модуль>

Napríklad:

Hydra -U http-post-form

Špeciálne voľby možno odovzdať cez voľbu -m alebo ako tretiu voľbu na príkazovom riadku, prípadne vo formáte juba://target/option.

Príklady (všetky znamenajú to isté):

Hydra -l test -p test -m PLAIN 127.0.0.1 imap hydra -l test -p test 127.0.0.1 imap PLAIN hydra -l test -p test imap://127.0.0.1/PLAIN

Obnovenie prerušenej/prerušenej relácie

Keď je hydra prerušená pomocou Control-C, zabitá alebo havarovaná, zanechá súbor „hydra.restore“, ktorý obsahuje všetky potrebné informácie na obnovenie relácie. Tento súbor relácie sa zapisuje každých 5 minút.

Poznámka: Súbor hydra.restore NEMÔŽE byť skopírovaný rôzne platformy(napr. od malého indického k veľkému indiánovi alebo od solaris po aix)

Ako skenovať/hackovať cez proxy

Premenná prostredia HYDRA_PROXY_HTTP definuje web proxy (funguje len pre službu http/www!)

Nasledujúca syntax je platná:

HYDRA_PROXY_HTTP="http://123.45.67.89:8080/"

Pre všetky ostatné služby použite premennú HYDRA_PROXY na skenovanie/hackovanie cez predvolené volanie webového proxy CONNECT. Používa presne rovnakú syntax, napr.

Testovanie bezpečnosti serverov a webových aplikácií je veľmi dôležitosti, pretože ak sa vám podarilo nájsť zraniteľnosť, nájde ju aj útočník, čo znamená, že bude môcť získať prístup k vašim osobným údajom alebo poškodiť aplikáciu. Jeden z najúčinnejších a veľmi jednoduché metódy hacking je hrubá sila hesiel. Preto je veľmi dôležité uistiť sa, že vaše heslo bude ťažké vynútiť hrubou silou.

Hydra je softvér OTVORENÉ zdrojový kód pre výpočet hesiel v reálnom čase z rôznych online služby, webové aplikácie, FTP, SSH a ďalšie protokoly. Zvláštnosťou nástroja je, že nevyhľadáva podľa hashu, ale priamo pomocou požiadaviek na server, čo znamená, že môžete skontrolovať, či sú firewally správne nakonfigurované, či sú takéto pokusy blokované a či vôbec dokážete takýto útok odhaliť. na serveri. V tomto článku sa pozrieme na to, ako použiť thc hydra na heslá hrubou silou.

Najprv musíme nainštalovať tento nástroj. Toto je pomerne populárny nástroj na testovanie bezpečnosti, takže ho nájdete v oficiálnych úložiskách. Ak chcete nainštalovať požadované balíky v Ubuntu, spustite:

sudo apt nainštalovať hydra

Ak chcete nainštalovať program na Red Hat/CentOS, príkaz je podobný:

sudo yum nainštalovať hydra

V oficiálnych úložiskách sú však spravidla staršie verzie programu. Ak chcete najnovšiu verziu, musíte si ju vytvoriť zo zdroja. Ale tu nie je nič zložité. Najprv si stiahnite zdroj Najnovšia verzia z GitHubu na tento moment, je 8.4:

wget https://github.com/vanhauser-thc/thc-hydra/archive/v8.4.tar.gz

Potom ich musíte rozbaliť a prejsť do zdrojového priečinka:

tar xvpzf thc-hydra-v8.4.tar.gz
$ cd thc-hydra-v8.4

./configure
$make
$ sudo make install

Vývojári urobili veľmi dobre, keď inštaláciu nastavili v /usr/local. Úžitok sa teda nerozšíri všade systém súborov ale bude na jednom mieste. Ak stále chcete nainštalovať grafický shell, musíte sa presunúť do priečinka hydra-gtk a spustiť rovnaké príkazy:

cd hydra-gtk
$ ./configure
$make
$ sudo make install

Treba poznamenať, že na jeho zostavenie sú potrebné vývojové balíky gtk2. Ale neodporúčal by som vám používať toto GUI. Ak rozumiete, ako pracovať s obslužným programom prostredníctvom terminálu, potom to vôbec nie je potrebné, najmä preto, že všetka flexibilita nástroja je odhalená prostredníctvom príkazového riadku.

Program THC Hydra

Predtým, ako začneme uvažovať o tom, ako používať htc hydra, musíme zistiť, aké parametre poslať príkazu a ako to urobiť. Najprv sa pozrime na všeobecnú syntax:

$ hydra možnosti prihlásenia heslá -s port modul cieľová_adresa module_parameters

Možnosti nastavujú globálne parametre pomôcky, pomocou ktorých môžete nakonfigurovať potrebné parametre, napríklad určiť, že potrebujete zobraziť informácie veľmi podrobne, pomocou možností sa nastavuje aj zoznam prihlásení a hesiel pre enumeráciu. , ale zdôraznil som to v samostatnom odseku. Ďalej je potrebné nastaviť port služby na vzdialenom počítači a IP adresu cieľa. Na záver nastavíme enumeračný modul, ktorý budeme používať a parametre modulu. Toto je zvyčajne najzaujímavejšia časť, ale začneme s možnosťami:

  • -R- obnoviť predtým prerušenú reláciu Hydra;
  • -S- na pripojenie použite SSL;
  • -s- špecifikovať prístav;
  • -l- použiť prihlásenie;
  • -L- vyberte prihlásenia zo súboru so zoznamom;
  • -p- použiť heslo;
  • -P- použiť heslo zo súboru so zoznamom;
  • -M- prevziať zoznam cieľov zo súboru;
  • -X- generátor hesiel;
  • -u- štandardne hydra kontroluje všetky heslá pri prvom prihlásení, táto možnosť vám umožňuje kontrolovať jedno heslo pre všetky prihlásenia;
  • -f- ukončiť, ak sa nájde správne prihlasovacie meno/heslo;
  • -o- uložiť výsledok do súboru;
  • -t- počet vlákien pre program;
  • -w- čas medzi požiadavkami v sekundách;
  • -v- podrobný výstup;
  • -V- zobraziť testované prihlasovacie údaje a heslá.

Toto boli hlavné možnosti, ktoré využijete. Teraz sa pozrime na moduly, ako aj metódy autentifikácie, ktoré si môžete vybrať:

  • adam6500;
  • hviezdička;
  • cisco;
  • Cisco-umožňujú;
  • http hlava;
  • http-get;
  • http príspevok;
  • http-get-form;
  • http-post-form;
  • http proxy;
  • http-proxy-urlenum;
  • imap;
  • ldap2;
  • ldap3;
  • mssql;
  • nntp;
  • pcanywhere;
  • pcnfs;
  • pop3;
  • redis;
  • rexec;
  • rlogin;
  • rpcap;
  • rtsp;
  • s7-300;
  • smtp;
  • smtp enum;
  • snmp;
  • ponožky5;
  • tímová reč;
  • telnet;
  • vmauthd;
  • xmpp.

Ako vidíte, počet dostupných protokolov je pomerne veľký, bezpečnosť môžete skontrolovať ako ssh, ftp a až webové formuláre. Ďalej sa pozrieme na to, ako používať hydra, ako používať najčastejšie používané protokoly.

Ako užívať thc-hydra

Ako ste možno uhádli, hydra triedi heslá zo súboru, ktorý sa do nej prenáša, a odtiaľ sa preberajú aj prihlasovacie údaje. Môžete tiež požiadať program, aby vygeneroval heslá samostatne na základe regulárneho výrazu. A teraz je ich nahradenie a prenos na vzdialený server nakonfigurovaný pomocou reťazca parametrov modulu. Prirodzene je potrebné pripraviť súbory s heslami. V tomto článku pre príklady použijem súbor s heslami od Johna rippera, ktorý ľahko nájdete na internete. Môžete tiež použiť 500 najlepších slovníkov hesiel a od Cain & Abel, kde je viac ako 300 000 hesiel. Použijeme len jeden login – admin.

FTP heslo hrubá sila

Najprv si povedzme o používaní hydry v konzolovej verzii. V skutočnosti je to hlavný program. Príkaz bude vyzerať takto:

hydra -l admin -P john.txt ftp://127.0.0.1

Ako si pamätáte, voľba -l nastavuje prihlásenie používateľa, -P - súbor so zoznamom hesiel. Ďalej jednoducho špecifikujeme protokol a IP cieľa. Hotovo, takto jednoduché je vyskúšať si heslo FTP, ak ste ho nastavili príliš jednoducho a nenastavili ste zabezpečenie. Ako vidíte, nástroj triedi heslá rýchlosťou 300 ks za minútu. Nie je to veľmi rýchle, ale jednoduché heslá dosť nebezpečné. Ak chcete počas iterácie získať viac informácií, použite súčasne voľby -v a -V:

hydra -l admin -P john.txt -vV ftp://127.0.0.1

Pomocou syntaxe hranatých zátvoriek tiež môžete zadať viac ako jeden cieľ, ale naraz zaútočiť na celú sieť alebo podsieť:

hydra -l admin -P john.txt ftp://

Ciele môžete prevziať aj zo súboru so zoznamom. Ak to chcete urobiť, použite možnosť -M:

hydra -l admin -P john.txt -M targets.txt ftp

Ak zhoda slovníka nefungovala, môžete použiť iteráciu s automatickým generovaním znakov na základe danej sady. Namiesto zoznamu hesiel musíte zadať voľbu -x a odovzdať jej reťazec s voľbami hrubej sily. Jeho syntax je takáto:

min_dĺžka: maximálna dĺžka: znaková sada

Pri maximálnom a minimálnom množstve je myslím všetko jasné, sú označené číslami. V znakovej sade musíte špecifikovať a pre všetky malé písmená, A- pre veľké písmená a 1 pre všetky číslice od 0 do 9. Ďalšie znaky sú špecifikované po tejto konštrukcii tak, ako sú. Napríklad:

  • 4:4:1 - štvormiestne heslo pozostávajúce iba z čísel. Konkrétne všetky heslá v rozsahu 0000-9999;
  • 4:8:1 - heslo zo štyroch až ôsmich znakov, iba z čísel;
  • 4:5:aA1. - heslo, veľké 4 až 5 znakov, pozostáva z číslic, veľkých a malých písmen alebo bodky.

Celý príkaz bude vyzerať takto:

hydra -l admin -x 4:4:aA1. ftp://127.0.0.1

Môžete ísť opačným smerom a zadať cieľovú IP adresu a port manuálne pomocou voľby -s a potom zadať modul:

hydra -l admin -x 4:4:aA1 -s 21 127.0.0.1 ftp

Heslá pre ssh, telet a ďalšie podobné služby sú zoradené podobným spôsobom. Ale je zaujímavejšie zvážiť heslo hrubej sily pre http a html formuláre.

HTTP autentifikačné heslo hrubá sila

Rôzne smerovače často používajú autentifikáciu založenú na HTTP. Hrubé vynútenie hesla z tohto typu prihlasovacieho formulára sa robí veľmi podobným spôsobom ako ftp a ssh. Riadok spustenia programu bude vyzerať takto:

hydra -l admin -P ~/john.txt -o ./result.log -V -s 80 127.0.0.1 http-get /login/

Tu sme použili admin login, zoznam hesiel zo súboru john.txt, cieľovú adresu 127.0.0.1 a port 80 a modul http-get. V parametroch musí modul odovzdať iba adresu prihlasovacej stránky na serveri. Ako vidíte, veci nie sú také odlišné.

Heslo webového formulára hrubá sila

Najťažšou možnosťou sú heslá hrubou silou pre webové formuláre. Tu musíme zistiť, čo požadovaný formulár v prehliadači odosiela na server, a potom odoslať presne tie isté údaje pomocou hydra. Môžete vidieť, aké polia prehliadač odosiela pomocou odpočúvania v wireshark, tcpdump, v konzole pre vývojárov atď. Najjednoduchší spôsob je však otvoriť zdrojový kód formulára a pozrieť sa, aký je. Nebudeme chodiť ďaleko a vezmeme si formu WordPress:

Ako vidíte, dve polia log a pwd sú odovzdané, nás budú zaujímať iba hodnoty vstupných polí. Tu je ľahké uhádnuť, že ide o používateľské meno a heslo. Keďže formulár používa na odosielanie údajov metódu POST, musíme vybrať modul http-post-form. Syntax reťazca parametra bude vyzerať takto:

adresu _stránok :login_field_name=^USER^&password_field_name=^PASS^&custom_field=value:string_on_login_failure

Riadok spustenia programu bude vyzerať takto:

hydra -l user -P ~/john.txt -o ./result.log -V -s 80 127.0.0.1 http-post-form "/wp-admin:log=^USER^&pwd=^PASS^:Nesprávne meno používateľa alebo heslo"

Premenné ^USER^ a ^PASS^ obsahujú používateľské meno a heslo prevzaté zo slovníka, možno budete musieť zadať aj ďalšie parametre, sú tiež odovzdané, iba hodnoty budú opravené. Výraz končí reťazcom, ktorý je prítomný na stránke, keď zlyhá prihlásenie. Rýchlosť enumerácie môže dosiahnuť 1000 hesiel za minútu, čo je veľmi rýchle.

grafický nástroj xhydra

Rád by som povedal pár slov aj o grafickej verzii. Toto je rozhranie proso, ktoré vám pomôže vytvoriť príkaz pre konzolu hydra. Hlavné okno programu vyzerá takto:

Tu je niekoľko záložiek:

  • cieľ- účel útoku;
  • Heslá- zoznamy hesiel;
  • Tuning- dodatočné nastavenia;
  • Špecifické- nastavenie modulu;
  • začať- Spustite a zobrazte stav útoku.

Myslím, že toto všetko ľahko pochopíte, keď si osvojíte konzolovú verziu. Napríklad takto konfigurujete heslá ftp hrubou silou:



THC-Hydra je jedným z najrýchlejších a najspoľahlivejších programov na kontrolu bezpečnosti a odolnosti systémov proti uhádnutiu hesla hrubou silou. Dá sa použiť aj na obnovu zabudnuté heslá na akékoľvek zdroje, ktoré na vstup do systému používajú dvojicu prihlasovacieho mena a hesla.

V základnej konfigurácii podporuje Hydra viac ako 50 rôznych protokolov a formátov hovorov. Jeho hlavným rozdielom od programov tejto triedy, okrem vysokej rýchlosti a paralelného enumerácie v niekoľkých vláknach, je však modularita, môžete pripojiť nové komponenty, ktoré poskytujú podporu pre najnovšie sieťové zariadenia a protokoly. Nové moduly nájdete na oficiálnych stránkach programu od autorov tretích strán alebo si ich môžete napísať sami.

Program využíva špeciálne slovníky ako databázu prihlasovacích údajov a hesiel, pre zvýšenie pravdepodobnosti úspešného výberu je možné nastaviť masky, určiť dĺžku a možné znaky, z ktorých môžu pozostávať, navyše je možné vybrať programovo generované heslá pomocou niekoľko algoritmov. Program môže vykonávať paralelný výpočet na niekoľkých protokoloch súčasne. Priemerná rýchlosť hrubej sily je 900 hesiel za sekundu.

Tu je malý zoznam protokolov a zariadení, s ktorými môže THC-Hydra pracovať: HTTP, FTP, SMTP, POP3, IMAP, MySQL, NCP, NNTP, SOCKS, SSH, XMPP, smerovače Cisco a Mikrotik, vonkajšie monitorovacie sieťové kamery, Simatic Ovládače S7 -300 a viac. Verzie Hydra sú dostupné pre užívateľa takmer pre všetkých operačné systémy Okrem toho je distribuovaný s otvoreným zdrojom, čo znamená, že každý programátor môže pred vykonaním pentestu vidieť, ako je konkrétna funkcia implementovaná, a uistiť sa, že v kóde nie sú žiadne škodlivé inklúzie.

THC-Hydra je skvelým nástrojom pre výskumníkov a bezpečnostných konzultantov, ktorí im ukážu, aké ľahké je získať autorizáciu vzdialený prístup do systému.

THC Hydra je pomôcka na hádanie hesiel pre rôzne formy vstupu na webové stránky. Program má konzolové zobrazenie, takže začiatočníci môžu mať problémy s ovládaním.

THC Hydra podporuje mnoho protokolov (HTTP, POP3, MySQL, Socks atď.) a je tiež veľmi rýchly. Vďaka tomu je program jedným z najlepších svojho druhu.

Ako už bolo spomenuté vyššie, THC Hydra je konzolový nástroj, takže všetky príkazy je potrebné zadávať manuálne. V okne je potrebné zadať prihlasovacie meno, heslá, server, port, služby, počet vlákien, čakaciu dobu atď. textové súbory, takže si môžete stiahnuť databázu hesiel a zadať ju vo vstupnom okne. Môžete tiež zadať rôzne parametre: počet znakov, použité písmená a čísla atď.

Po zadaní všetkých údajov sa začne výber hesla. Ak ste zapli denník, uvidíte všetky možnosti prihlásenia / hesla, ktoré program použil. Ak pomôcka uhádne heslo, uvidíte ho v okne (zvýraznené zelenou farbou).

Hneď je potrebné povedať, že THC Hydra je skôr určený na obnovenie strateného hesla, pretože prelomenie profilu niekoho iného môže trvať niekoľko hodín až niekoľko rokov.

Funkcie programu

Výber hesla pre rôzne vstupné formuláre na stránkach.
Podpora mnohých protokolov.
Práca s textovými súbormi obsahujúcimi databázu prihlasovacích údajov a hesiel.
Má výhľad na konzolu.
Zadanie parametrov hesla: dĺžka, použité znaky.
Multithreading.
Multiplatformový (funguje na Windows a Linux).

Program THC Hydra si môžete stiahnuť úplne zadarmo.



Načítava...
Hore