Hydra入门使用手册
vanHauser
TheHackersChoice
http://www.thc.org/thc-hydra
目录
什么是Hydra?
Hydra-GTK
如何安装
如何使用Hydra?
参考文档
爆破实例
免责说明
联系我们
防范措施
什么是Hydra?
一个非常快速的网络登录破解程序,支持许多不同的服务。
查看功能集和服务覆盖 页面-包括与ncrack和medusa的速度比较 当前版本:8.6
最后更新2017-07-21
(c)vanHauser/THC的2001-2017
@thc.org; http://www.thc.org许多模块都是由David(dot)Maciejak @ gmail(dot)com编写的
BFG代码由Jan Dlabal提供
dlabaljan@gmail.com
在AGPLv3下许可(见LICENSE文件)
请不要在军事或秘密服务机构使用,
或为非法目的。
什么是Hydra?
首先,欢迎来到THCHydra项目的mini-website。
每个密码安全研究显示表明,最大的安全漏洞之一是密码。 而九头蛇是一个并发的登录破解程序,支持许多协议攻击。新模块更容易添加,除此之外,Hydra是灵活和迅速的
Hydra在Linux,Windows/Cygwin,Solaris11,FreeBSD8.1,OpenBSD,OSX,QNX/Blackberry上测试和编译,并在GPLv3下提供了特殊的OpenSSL许可证扩展。
目前此工具支持:
Asterisk,AFP,CiscoAAA,Ciscoauth,Ciscoenable,CVS,Firebird,FTP,HTTP-FORM-GET,HTTP-FORM-POST,
HTTP-GET,HTTP-HEAD,HTTP-POST,HTTP-PROXY,HTTPS-FORM-GET,HTTPS-FORM-POST,HTTPS-GET,HTTPS-POST,HTTPS-HEAD,
HTTP-Proxy,ICQ,IMAP,IRC,LDAP,MS-SQL,MYSQL,NCP,NNTP,OracleListener,OracleSID,Oracle,
PC-Anywhere,PCNFS,POP3,POSTGRES,RDP,Rexec,Rlogin,Rsh,RTSP,S7-300,SAP/R3,SIP,SMB,SMTP,
SMTPEnum,SNMP,SOCKS5,SSH(v1andv2),Subversion,Teamspeak(TS2),Telnet,VMware-Auth,VNCandXMPP.
对于HTTP,POP3,IMAP和SMTP,支持多种登录机制,如plain和MD5等。
这个工具是一个概念模型,是 为了让安全员和安全顾问验证提供一种可能性:从远程系统到系统的未经授权的访问是多么容易。
该程序被写入了vanHauser,并得到了DavidMaciejak的额外支持。
Hydra-GTK
1.选择目标,准备爆破
2.选择爆破ID,爆破字典
3.Hydra结果和输出
如何安装
第一部分:下载
1.生产/发布版本:
最新的Hydra的源代码:hydra-8.6.tar.gz
(在所有基于UNIX的平台上编译-甚至MacOSX,Windows上的Cygwin,ARM-Linux,Android,iPhone,Blackberry等)
2.发展版本:
您可以下载并编译当前在GITHUB存储库中开源的开发版本的hydra:
https://github.com/vanhauser-thc/thc-hydra
可以选择:
svn co https://github.com/vanhauser-thc/thc-hydra或者:
git clone https://github.com/vanhauser-thc/thc-hydra.git注意这是开发版本!新功能-伴随着新的bug。可能会导致Hydra无法运行!
1.只有旧版的Hydra才能使用源代码,只要是v7.x,就可以让您在不寻常的旧平台上出现问题:
hydra-5.9.1-src.tar.gz
2.Win32/Cywin二进制版本:---不再更新---
从http://www.cygwin.com安装cygwin并自行编译。如果您没有安装cygwin - 那你将如何通过cygwin做适当的安全测试呢?.
这里是旧版本的ARM和Palm二进制文件,我们已经不再维护:
Palm:hydra-4.6-palm.zip
第二部分:编译
Hydra在所有具有gcc-Linux,所有BSD,MacOS/X,Windows,Solaris等上的Cygwin的平台上都可以编译。
$ tar xvzf hydra-5.7-src.tar.gz
$ cd hydra-5.7-src /
一旦解压缩,你需要配置Hydra。确保GCC,Make和其他依赖关系被安装以编译C程序。配置Hydra使用:
$ ./configure它甚至可以在旧版本的SunOS,Ultrix等平台进行编译;Htdra有很多可选模块,比如用于SSH的库,SVN等网络协议。
如果有些库消失了,这些库可能就是不被您的二进制文件支持。如果您在Linux上,麻烦以下命令,这将安装所有必需的库:
Ubuntu / Debian:
apt-get install libssl-dev libssh-dev libidn11-dev libpcre3-dev libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev firebird2.1-dev libncp-dev libncurses5-dev
Redhat / Fedora:
yum install openssl-devel pcre-devel ncpfs-devel postgresql-devel libssh-devel subversion-devel libncurses-devel
OpenSuSE:
zypper install libopenssl-devel pcre-devel libidn-devel ncpfs-devel libssh-devel postgresql-devel subversion-devel libncurses-devel
以上所有可选的模块和功能不包括Oracle,SAPR/3和Apple文件协议-所以您需要从提供源的网站下载和安装。
对于Oracle,这是(基本安装和SDK包)的地址:
http : //www.oracle.com/technetwork/database/features/instant-client/index.html
对于所有其他Linux派生和基于BSD的系统,请使用系统软件安装程序并查找类似命名库,如上面的命令。
在所有其他情况下,您就只能手动下载所有源库并手动编译;Hydra的配置脚本会告诉您什么库是缺失,以及可以从哪里获得。
如何使用Hydra
3.1.简单使用
当你刚刚进入“hydra”,您将看到一个重要的简短摘要:可用选项输入“./hydra -h”以查看所有可用的命令行选项。
请注意,不包括登录/密码文件。你需要自己生成它们,或者使用别人已经生成的;然而,默认密码列表存在,使用“dpl4hydra.sh”生成一个列表。对于Linux用户,可以使用GTK gui,尝试“./xhydra”
对于命令行用法,语法如下:
对于攻击一个目标或网络,您可以使用新的“://”样式:
hydra[某些命令行选项]协议://目标:端口/选项
旧模式也可以用于这些,另外如果你想的话,从文本文件中指定目标,你必须使用这个:
hydra[某些命令行选项][-s端口]目标协议选项
通过命令行选项,您可以指定要尝试的登录名,哪些密码,如果使用SSL,需要使用多少个并行任务才能进行攻击等。PROTOCOL是您要用于攻击的协议,例如ftp,smtp,http-get或许多其他可用目标都是要攻击的目标,选项是每个PROTOCOL模块特殊的可选值。
第一:选择您的目标
您有三个选项可以指定要攻击的目标:
1.命令行上的单个目标:只需将IP或DNS地址放入
2.命令行上的网络范围:CIDR规范如“192.168.0.0/24”
3.文本文件中的主机列表:每个条目一行(见下文)以文本形式形成一份txt文档
第二:选择您的协议
尝试避免telnet,因为检测到正确或错误的登录尝试是不可靠的。其次可以使用端口扫描器查看目标上启用了哪些协议。
第三:检查模块是否有可选参数
hydra-U协议:例如hydra-Usmtp
此外:目标端口
目标端口是可以自己选择的!如果没有提供默认公用端口,可以自行设置协议的端口;
如果指定要使用SSL(“-S”选项),则默认使用SSL公用端口。如果使用“://”符号,则必须使用“[”“]"括号去支持IPv6地址或CIDR(“192.168.0.0/24”)爆破:
hydra[一些命令行选项]ftp://[192.168.0.0/24]/
最低0.47元/天 解锁文章
2297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
