溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家帶來有關如何使用THC-Hydra破解網站登錄密碼,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
步驟1:打開THC-Hydra
步驟2:獲取Web表單參數
網站的IP地址
網址
表格類型
包含用戶名的字段
包含密碼的字段
失敗訊息
如果是還沒獲取,繼續下一步
步驟3:使用Burp Suite獲取參數
我們需要在Burp Suite上啟用代理,最后,我們需要配置IceWeasel Web瀏覽器以使用代理。我們可以轉到“編輯”->“首選項”->“高級”->“網絡”->“設置”以打開“連接設置”,如下所示。在那里,通過在HTTP Proxy字段中鍵入127.0.0.1 ,在Port字段中鍵入8080,并在底部的No Proxy for字段中刪除任何信息,將IceWeasel配置為使用127.0.0.1端口8080作為代理。另外,選擇“將此代理服務器用于所有協議”按鈕。
步驟4:獲取登錄參數
現在,讓我們嘗試使用我的用戶名OTW和密碼OTW登錄。當我這樣做時,BurpSuite會截獲該請求并向我們顯示THC-Hydra Web表單破解所需的關鍵字段。
步驟5:將參數放入您的THC Hydra命令
現在,有了參數,我們可以將它們放入THC-Hydra命令中。語法如下所示:
kali> hydra -L <用戶名列表> -p <密碼列表> <IP地址> <表單參數> <失敗的登錄消息>
因此,根據我們從Burp Suite收集的信息,我們的命令應如下所示:
kali> hydra -L <單詞列表> -P <密碼列表>
192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:登錄失敗”
需要注意的幾件事。首先,如果要使用用戶名列表,則使用大寫字母“ L”;如果要破解那里提供的一個用戶名,則使用小寫字母“ l”。在這種情況下,我將使用小寫的“ l”,因為我只會嘗試破解“ admin”密碼。
步驟6:選擇一個破解詞單
現在,我們需要選擇一個單詞表。與任何字典攻擊一樣,單詞表是關鍵。您可以使用由Crunch of CeWL制作的自定義單詞,但是Kali內置了許多單詞列表。要查看所有單詞列表,只需鍵入:
kali > locate wordlist
此外,還有許多在線網站,這些網站的單詞表最大可以達到100 GB!明智地選擇,我的黑客會創新。在這種情況下,我將在以下位置使用少于1000個單詞的內置單詞列表:
/usr/share/dirb/wordlists/short.txt
步驟7:構建命令
kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=登錄:登錄失敗” -V
步驟8:讓她飛!
現在,讓她飛!由于我們使用了-V開關,因此THC-Hydra將向我們展示所有嘗試。
幾分鐘后,Hydra會返回我們的Web應用程序的密碼。成功!
在Web表單中成功使用它的關鍵是確定表單對登錄失敗與成功登錄的不同響應方式。在上面的示例中,我們確定了失敗的登錄消息,但是我們可以確定成功的消息并使用了它。要使用成功消息,我們將失敗登錄消息替換為“ S = successful message”,例如:
kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&S=成功消息“ -V
還有
另外,某些Web服務器會注意到許多快速失敗的登錄嘗試并鎖定了您。在這種情況下,您將需要在THC-Hydra中使用等待功能。這將在兩次嘗試之間添加一個等待時間,以免觸發鎖定。您可以通過-w開關使用此功能,因此我們通過編寫以下命令來修改命令以在兩次嘗試之間等待10秒:
kali> hydra -l管理員-P /usr/share/dirb/wordlists/small.txt 192.168.1.101 http-post-form“ /dvwa/login.php:username=^USER^&password=^PASS^&Login=登錄:登錄失敗” -w 10 -V
上述就是小編為大家分享的如何使用THC-Hydra破解網站登錄密碼了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
