టిహెచ్సి హైడ్రాను ఇన్స్టాల్ చేస్తోంది
నుండి THC హైడ్రాను డౌన్లోడ్ చేయండి https://github.com/vanhauser-thc/thc-hydra.
డౌన్లోడ్ చేసిన తర్వాత, ఫైల్లను సంగ్రహించండి మరియు కింది వాటిని అమలు చేయండి:
CDthc-hydra-master/
./ఆకృతీకరించు
తయారు
తయారు ఇన్స్టాల్
మీరు ఉబుంటు/డెబియన్ ఉపయోగిస్తుంటే, కింది వాటిని కూడా టైప్ చేయండి:
apt-get installlibssl-dev libssh-dev libidn11-dev libpcre3-dev
libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev
firebird-dev libmemcached-dev libgpg-error-dev
libgcrypt11-dev libgcrypt20-dev
CLI వినియోగం
సాధారణ ప్రోటోకాల్లతో హైడ్రాను ఎలా ఉపయోగించాలో ఇక్కడ మేము పరిశీలిస్తాము.
SSH/FTP/RDP/TELNET/MYSQL
హైడ్రా సుమారు 55 విభిన్న ప్రోటోకాల్లతో వ్యవహరించగలదని గుర్తుంచుకోవాలి. ఇవి ssh, ftp, rdp, telnet, మరియు mysql వంటి ప్రోటోకాల్లకు సంబంధించిన కొన్ని ఉదాహరణలు మాత్రమే. అయితే, అదే సూత్రం మిగిలిన ప్రోటోకాల్లకు వర్తిస్తుంది.
హైడ్రాను ప్రోటోకాల్తో పని చేయడానికి, మీకు యూజర్పేరు (-l) లేదా యూజర్నేమ్ల జాబితా (-L), పాస్వర్డ్ల జాబితా (పాస్వర్డ్ ఫైల్) మరియు దానికి సంబంధించిన టార్గెట్ IP చిరునామా అవసరం. ప్రోటోకాల్. మీకు కావాలంటే మీరు మరిన్ని పారామితులను జోడించవచ్చు. ఉదాహరణకు, వెర్బిసిటీ కోసం -V.
హైడ్రా-ది <వినియోగదారు పేరు> -పి <పాస్వర్డ్> <ప్రోటోకాల్>://<ip>ప్రత్యామ్నాయంగా, మీరు దీన్ని ఈ క్రింది విధంగా ఫార్మాట్ చేయవచ్చు:
హైడ్రా-ది <వినియోగదారు పేరు> -పి <పాస్వర్డ్ఫైల్> -ఎస్ <పోర్ట్> -వి <ip> <ప్రోటోకాల్>-l లేదా -L: వినియోగదారు పేరు లేదా ప్రయత్నించడానికి వినియోగదారు పేర్ల జాబితా
-పి: పాస్వర్డ్ జాబితా
-s: పోర్ట్
-V: వెర్బోస్
: ftp/rdp/ssh/telnet/mysql/etc ...
: ip చిరునామా
ఉదాహరణకు, FTP కొరకు:
హైడ్రా-వి -f -ది <వినియోగదారు పేరు> -పి <పాస్వర్డ్>ftp:// <ip>లేదా
హైడ్రా-ది <వినియోగదారు పేరు> -పి <పాస్వర్డ్ఫైల్> -ఎస్ ఇరవై ఒకటి -వి <ip> ftpHTTP-GET-FORM
అభ్యర్థన రకాన్ని బట్టి, GET లేదా POST, మీరు http-get-form లేదా http-post-form ని ఉపయోగించవచ్చు. తనిఖీ మూలకం కింద, పేజీ GET లేదా POST అని మీరు గుర్తించవచ్చు. యూజర్ నేమ్కి పాస్వర్డ్ని కనుగొనడానికి ప్రయత్నిస్తున్నప్పుడు మీరు http-get-form ని ఉపయోగించవచ్చు: వెబ్లో పాస్వర్డ్ కాంబినేషన్ (ఉదాహరణకు, వెబ్సైట్).
హైడ్రా-ది <వినియోగదారు పేరు> -పి <పాస్వర్డ్> -వి -f <ip>http-get-form a: b: c: d-l లేదా -L: వినియోగదారు పేరు లేదా ప్రయత్నించడానికి వినియోగదారు పేర్ల జాబితా
-పి: పాస్వర్డ్ జాబితా
-f: పాస్వర్డ్ కనుగొనబడినప్పుడు ఆపు
-V: వెర్బోస్
a: లాగిన్ పేజీ
b: వినియోగదారు పేరు/పాస్వర్డ్ కలయిక
c: లాగిన్ విఫలమైతే లోపం సందేశం అందుతుంది
d: H = సెషన్ కుకీ
ఉదాహరణకు, మేము DVWA (డామ్ హాని కలిగించే వెబ్ అప్లికేషన్) ని హ్యాక్ చేయాలనుకుంటున్నాము. Apache2 ఉపయోగించి ఆన్లైన్లో ఒకసారి, అది మీ స్థానిక IP వద్ద ఉండాలి. నా విషయంలో, ఇది వద్ద ఉందిhttp://10.0.2.15.
కాబట్టి, ది:
: 10.0.2.15
కు:/హాని/బ్రూట్/
తరువాత, మనకు b మరియు c అవసరం. కాబట్టి, నకిలీ ఆధారాలతో లాగిన్ చేయడానికి ప్రయత్నిద్దాం (ఇక్కడ ఏదైనా చేస్తుంది). సైట్ ఈ సందేశాన్ని ప్రదర్శిస్తుంది: వినియోగదారు పేరు లేదా పాస్వర్డ్ తప్పు. అందువల్ల, మేము c సందేశాన్ని ఉపయోగిస్తాము:
c: వినియోగదారు పేరు లేదా పాస్వర్డ్ తప్పు
కాబట్టి, b ఈ విధంగా ఉంటుంది:
b:వినియోగదారు పేరు=^వినియోగదారు^&పాస్వర్డ్=^పాస్^&ప్రవేశించండి= లాగిన్#^USER ^మరియు ^PASS with తో ఇన్పుట్ చేసిన ఆధారాలను భర్తీ చేయండి. ఇది POST అభ్యర్థన అయితే, మీరు ఈ సమాచారాన్ని తనిఖీ మూలకం> అభ్యర్థన టాబ్ కింద కనుగొంటారు.
తరువాత, తనిఖీ మూలకం కింద, కుకీని కాపీ చేయండి. ఇది d:
d:హెచ్= కుకీ:PHPSESSID= 3046g4jmq4i504ai0gnvsv0ri2;భద్రత= తక్కువకాబట్టి, ఉదాహరణకు:
హైడ్రా-దిఅడ్మిన్-పి /ఇంటికి/కళ్యాణి/రాక్యూ. టెక్స్ట్-వి -f10.0.2.15 http-get-form<br/> <వ్యవధిశైలి='రంగు: #0000ff'>> /బలహీనతలు/వ్యవధి>క్రూరమైన/:వినియోగదారు పేరు=^వినియోగదారు^&పాస్వర్డ్=^పాస్^&ప్రవేశించండి= లాగిన్<br/>#:యూజర్ పేరు లేదా పాస్వర్డ్ చెల్లదు:H = కుకీ: PHPSESSID = 3046g4jmq4i504ai0gnvsv0ri2; భద్రత = తక్కువ
మీరు దీన్ని అమలు చేసినప్పుడు, మరియు పాస్వర్డ్ జాబితాలో ఉంటే, అది మీ కోసం కనుగొంటుంది.
అయితే, ఇది మీకు చాలా పని అని నిరూపిస్తే, GUI వెర్షన్ కూడా ఉన్నందున ఒత్తిడికి గురికావాల్సిన అవసరం లేదు. ఇది CLI వెర్షన్ కంటే చాలా సరళమైనది. THC హైడ్రా యొక్క GUI వెర్షన్ను హైడ్రా GTK అంటారు.
హైడ్రా GTK ని ఇన్స్టాల్ చేస్తోంది
ఉబుంటులో, మీరు కింది ఆదేశాన్ని ఉపయోగించి హైడ్రా GTK ని ఇన్స్టాల్ చేయవచ్చు:
సుడో apt-get installహైడ్రా- gtk-మరియుఇన్స్టాల్ చేసిన తర్వాత, మీకు ఈ క్రిందివి అవసరం:
- లక్ష్యం లేదా లక్ష్యాల జాబితా: ఇది మీరు దాడి చేయాలనుకుంటున్న ప్రోటోకాల్ యొక్క IP చిరునామా
- పోర్ట్ నంబర్: ప్రోటోకాల్తో అనుబంధించబడిన పోర్ట్ నంబర్
- ప్రోటోకాల్: ssh, ftp, mysql, మొదలైనవి ...
- వినియోగదారు పేరు: వినియోగదారు పేరు లేదా వినియోగదారు పేర్ల జాబితాను నమోదు చేయండి
- పాస్వర్డ్ లేదా పాస్వర్డ్ జాబితా
మీరు ఒకటి లేదా బహుళ లక్ష్యాలను హ్యాక్ చేయాలనుకుంటున్నారా అనేదానిపై ఆధారపడి, మీరు ఒకటి లేదా అనేక లక్ష్యాలను లక్ష్య పెట్టెలో ఇన్పుట్ చేయవచ్చు. మీరు 999.999.999.999 (ఒక నకిలీ IP చిరునామా, స్పష్టంగా) వద్ద ఉన్న ఒక SSH అనే ఒకే లక్ష్యాన్ని దాడి చేస్తున్నారని అనుకుందాం. టార్గెట్ బాక్స్లో, మీరు 999.999.999.999, మరియు పోర్ట్ విభాగంలో, మీరు 22. ప్రోటోకాల్ కింద, మీరు SSH ని పెట్టారు. ఇది వెర్బోస్గా మరియు షో బాక్స్లను కూడా ప్రయత్నించడం మంచిది. బీ వెర్బోస్ బాక్స్ THC హైడ్రాలో -v కి సమానం, అయితే షో ప్రయత్నాల బాక్స్ THC హైడ్రాలో -V కి సమానం. హైడ్రా యొక్క ప్లస్ పాయింట్ ఏమిటంటే ఇది పెద్ద సంఖ్యలో ప్రోటోకాల్లను ఎదుర్కోగలదు.
తదుపరి ట్యాబ్లో, మీకు కావలసిన యూజర్పేరు లేదా యూజర్నేమ్ల జాబితాను ఇన్పుట్ చేయండి (ఈ సందర్భంలో యూజర్ పేర్ల జాబితా యొక్క స్థానం). ఉదాహరణకు, వినియోగదారు పేరు జాబితాలో, నేను /home/kalyani/usernamelist.txt ని ఉంచుతాను. పాస్వర్డ్ల విషయంలో కూడా ఇది వర్తిస్తుంది. పాస్వర్డ్ ఫైల్ లొకేషన్ పాస్వర్డ్ లిస్ట్ అనే బాక్స్లో ఇన్పుట్ చేయబడింది. వీటిని పూరించిన తర్వాత, మిగిలినవి సులువుగా ఉంటాయి. మీరు ట్యూనింగ్ మరియు నిర్దిష్ట ట్యాబ్లను అలాగే ఉంచి, స్టార్ట్ ట్యాబ్ కింద స్టార్ట్ బటన్ పై క్లిక్ చేయండి.
టిహెచ్సి హైడ్రా కంటే హైడ్రా జిటికె ఉపయోగించడం చాలా సులభం, అవి ఒకే విషయం అయినప్పటికీ. మీరు టిహెచ్సి హైడ్రా లేదా హైడ్రా జిటికెను ఉపయోగించినా, రెండూ పాస్వర్డ్లను క్రాక్ చేయడానికి గొప్ప సాధనాలు. సాధారణంగా ఎదుర్కొన్న సమస్య ఉపయోగించిన పాస్వర్డ్ జాబితా రూపంలో వస్తుంది. మీ పాస్వర్డ్ జాబితాను మీకు నచ్చిన విధంగా రూపొందించడానికి క్రంచ్ మరియు వర్డ్లిస్ట్ జనరేటర్లు వంటి ఇతర ప్రోగ్రామ్లను మీరు స్పష్టంగా ఉపయోగించవచ్చు. అయితే, మీరు మీ ఉపయోగానికి పాస్వర్డ్ జాబితాను కూడా రూపొందించగలిగితే, హైడ్రా చాలా శక్తివంతమైన మిత్రుడు కావచ్చు.
హ్యాపీ హ్యాకింగ్!