Hydra攻击HTTP基本身份验证

已于 2023-06-28 15:39:38 修改
阅读量131 收藏 1
点赞数
文章标签: http 网络 网络协议
于 2023-06-28 15:35:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73630977/article/details/131373438
版权

目录

简介

THC Hydra(简称Hydra)是一个可以进行在线登录验证的工具,kali下是默认安装的,几乎支持所有协议的在线破解;这意味着它可以通过暴力的方式来尝试登录密码。

1.打开方式:

  1. 在Kali linux中打开Hydra
    1.1 图形界面打开(两种打开方式)
    在这里插入图片描述
    1.2 输入命令hydra打开(推荐)
    在这里插入图片描述
    上图中,不输入任何参数时将显示基本帮助信息。

1.3 帮助信息介绍

**在kali中输入hydra -h可以查看hydra中的所有参数。
入hydra -h可以查看hydra中的所有参数。
**
在这里插入图片描述

1.4.具体的参数含义见下表:

参数名介绍
-R继续从上一次进度接着破解
-L指定破解的用户,对特定用户破解
–p小写)指定用户名字典
-P(大写)指定密码破解,少用,一般是采用密码字典
-e可选选项,
-n空密码试探,
-s可通过这个参数指定非默认端口
-S采用SSL链接

Hydra案例

2.靶场:

需要靶场的IP
我这里是192.168.22.130

在这里插入图片描述

3. 写入命令发动攻击靶机

这里我是用我指定的账号密码文件进行破解,如果像我一样自己创建账号密码进行破解,那么你在那个目录下创建的就需要在那个目录下操作,否则就需要加上绝对路径,并且我这里设置的线程很少,如果你感觉慢,那么可以使用多一点的线程来跑字典。
在这里插入图片描述

3.1命令中相关参数含义:

-L userlist.txt告诉Hydra从userlist.txt寻找username。
-Ptop25_password.txt,告诉Hydra从top25_password.txt中获得预期密码。
-uHydra将首先迭代用户名,而不是密码。这意味着Hydra将首先使用单个密码尝试所有的用户名,然后继续使用下一个密码。这将有助于防止账户锁定。
-e nsHydra尝试将一个空密码(n)和用户名作为密码添加到密码列表
http-get表示Hydra将使用GET方式对HTTP基本身份验证发起请求

4 字典推荐

4.1Kali自带密码字典

暴力破解能成功最重要的条件还是要有一个强大的密码字典!Kali默认自带了一些字典,在 /usr/share/wordlists 目录下
在这里插入图片描述

4.2.Dirb文件夹里的字典

在这里插入图片描述

4.3.该目录的字典文件含义如下

big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录,默认用户名等
stress #压力测试
vulns #漏洞测试

4.4Hydra密码生成器

参数介绍
-x MIN:MAX:CHARSET 密码暴力破解生成器MIN表示生成密码的最短长度;MAX表示生成密码的最长长度;CHARSET表示使用指定的字符生成密码,'a’表示所有的小写字母,'A’表示所有的大写字母,'1’表示所有的数字,对于其他字符,只需要添加在后面即可
-y使用方式见-x,它表示charset的字符是实际的字符,而不是正则表达式
-x 3:5:a生成的密码字典长度为3到5位,由所有的小写字母组成
-x 5:8:A1生成的密码字典长度为3到5位,由所有的小写字母组成
-x 5:5/%,.-生成的密码字典长度为5位,只由’/ % , . -'这5种字符构成
-x 3:5:aA1 -y生成的密码字典长度为3到5位,且只由’a A 1’这三种字符组成
-x 3:5:aA1.-+#生成的密码字典长度为3到8位,由大小写字母+数字+.-+#进行组合。

5.总结

与其他身份验证方法(例如基于表单的身份验证方法)不同,基本身份验证在发送到服务器的内容、如何发送以及期望从服务器得到的响应方面是标准的。这允许攻击者和渗透测试人员节省宝贵的分析时间,这些工作涉及的参数包含用户名和密码、如何处理,发送这些参数以及如何区分成功响应和不成功响应。这是基本身份验证不被认为是安全机制的许多原因之一。不建议在生产服务器上使用大量密码执行暴力破解,因为可能会中断服务、阻塞正常用户或触发保护机制。

计算机网络一班黄珀玮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
黑客之路-使用hydra进行简单的密码爆破
坐公交也用券
10-10 3436
需要用到的工具:hydra爆破工具、字典 指定用户名 hydra -l root -P pass.txt mysql://172.17.0.2 使用字典用户名 hydra -l root -P pass.txt mysql://172.17.0.2
hydra爆破
奇怪的569的博客
10-10 3667
简单介绍一下本款软件:hydra也称九头蛇,是一个支持众多协议的爆破工具,且Windows/Linux环境下都支持(个人认为在linux环境下更好用),且本软件已经集成到kali系统中,所以一下所有示例都在kali系统下完成。 hydra官网:http://www.thc.org/ hydra使用在线破解的方式进行账号密码认证,通常有一下几种情况:1.用户名未知,密码未知。2.用户名已知,密码...
Kali linux中使用工具Hydra攻击HTTP基本身份验证
KKKmeng的博客
05-28 857
THC Hydra(简称Hydra)是一个可以进行在线登录验证的工具;这意味着它可以通过暴力的方式来尝试登录密码。在Hydra支持的众多服务中,我们可以找到HTTP基本身份验证
网络安全入门之扫描与爆破:探索黑客攻防中的必要技能
weixin_43263566的博客
11-12 253
扫描与爆破
hydra:Nim的HTTP2框架
02-02
Hydra是一款基于Nim语言构建的HTTP2框架,它的设计目标是提供高效、灵活且易于使用的Web服务开发工具。在Nim的语法基础上,Hydra充分利用了语言的高性能特性和简洁性,为开发者提供了构建现代Web应用的强大支持。 ...
hydra 安装包依赖及组件
12-14
在服务器没外网的情况下,hydra安装包解压之后的内容以及相关依赖和部分组件。 不要从自己本地中,把自己安装好的hydra整个文件夹拖进目标服务器中,亲测缺失东西。。
hydra使用帮助手册
01-17
是用kali linux 是离不开hydra的 这是一个很强大的工具 hydra使用帮助手册(官方原版) 此手册有详细的各个参数解释说明并举例,也有所有支持的协议 等
ory-hydra离线安装包
01-12
1. **无状态**: ORY Hydra不存储会话或令牌信息,所有的身份验证和授权决策都基于传入的请求和存储在独立的存储(如数据库)中的策略。 2. **安全**: 它使用最新的安全标准,如TLS 1.3,防止中间人攻击,并且支持...
hydra 暴力破解弱密码
06-02
hydra是一个自动化的爆破工具,暴力破解弱密码,是一个支持众多协议的爆破工具
hydra使用教程
weixin_45778886的博客
03-14 3691
目录标题注意hydra详细使用教程hydra简介hydra常用命令hydra支持破解的服务/协议对应功能的参数模板1、破解ssh:2、破解ftp:3、get方式提交,破解web登录:4、post方式提交,破解web登录:5、破解https:6、破解teamspeak:7、破解cisco:8、破解smb:9、破解pop3:10、破解rdp:11、破解http-proxy:12、破解imap:实例演示-破解SSH密码1.使用字典对目标服务进行破解。2.当目标服务开放的端口不是默认端口时,使用 -s 进行指定。3
九头蛇hydra爆破http示例
墨痕诉清风的博客
02-23 3034
简单,一看必会
Hydra 使用方法
liver100day的博客
06-03 6242
Hydra(爆破神器)使用方法 1.工具介绍 hydra是一个自动化的爆破工具,暴力破解弱密码,是一个支持众多协议的爆破工具,已经集成到KaliLinux中,可以在终端直接打开 2.参数介绍 -l 指定单个用户名,适合在知道用户名爆破时使用 -L 指定多个用户名,参数值为存储用户名的文件的路径(建议使用文件绝对路径) -p 指定单个密码,适合在知道用户密码进行爆破时使用 -P 指定多个密码,参数值为存贮密码的文件(通常称为字典)的路径(建议使用文件绝对路径) -C 当用户名和密码存储到一个文件时使用此
Hydra(弱密码爆破)使用教程
Cwillchris的博客
01-13 1万+
hydra是一个自动化的爆破工具,暴力破解弱密码,是一个支持众多协议的爆破工具,已经集成到KaliLinux中,直接在终端打开即可。 hydra支持的服务有: POP3,SMTP、SMB,RDP,SSH,FTP,POP3,Telnet,MYSQL...(举例一些常用的服务) 终端输入hydra -h 查看使用方法 参数: -l 指定单个用户名,适合在知道用户名爆破用户名密码时使用 -L 指定多个用户名,参数值为存储用户名的文件的路径(建议为绝对路径) -p 指定单个密码,适合在知道密码
暴力破解工具——Hydra使用教程
世间繁华梦一出
03-07 5934
一、Hydra简介 hydra是一款开源的暴力密码破解工具,支持多种协议密码的破解。 二、常用命令 这里去除了字典生成部分,因为有专业的工具进行字典生成。而且hydra不适用于http(s)的破解,如果想进行http(s)的破解,请用 burpsuit进行破解。 -R 还原以前中止或崩溃的会话 -S 使用SSL连接 -s 指定非默认端口 -l
Hydra密码爆破工具使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
12-06 2万+
Hydra也叫九头蛇,是一款开源的暴力PJ工具,集成在kali当中。
hydra暴力破解ftp-telnet-mysql-ssh-http
WEB渗透测试 从入门到萌新
10-09 6412
使用此命令,会枚举出网站已经注册的用户名,枚举出用户名之后,就可以通过xmlrpc.php或者后台登录页面进行爆破,对应的防御手段就是禁用掉xmlrpc.php并对后台进行隐藏
linux暴力密码破解工具hydra安装与使用
nos84848235的专栏
04-08 3508
说明: hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码。官网:http://www.thc.org/thc-hydra,可支持AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-
使用hydra暴力破解web登录界面
Make
07-23 1万+
在线密码破解教程,web登录爆破(hydra的简单使用) https://blog.csdn.net/weixin_43039349/article/details/89323846 使用hydra暴力破解web登录界面 https://blog.csdn.net/ivuqiumei/article/details/46939687 HOW TO SCAN/CRACK OVER A ...
hydra mysql
最新发布
04-20
Hydra MySQL是一个用于MySQL数据库的并行化测试工具。它可以通过同时发送多个请求来模拟高负载环境下的数据库访问,并且可以对数据库进行性能测试和压力测试。 Hydra MySQL具有以下特点: 1. 并行化:Hydra MySQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值