Hydra 介绍
Hydra是一个相当强大的暴力密码破解工具。
该工具支持几乎所有协议的在线密码破解,如FTP、HTTP、HTTPS、MySQL、MSSQL、Oracle、Cisco、IMAP和VNC等。
其密码能否被破解,关键在于字典是否足够强大。
很多用户可能对Hydra比较熟悉,因为该工具有图形界面,且操作十分简单,基本上可以“傻瓜”操作。
操作步骤
(1)启动Hydra攻击。在Kali桌面依次选择 “应用程序” | Kali Linux l “密码攻击” |
“在线攻击” hydra-gtk命令,将显示如图所示的界面。
(2)该界面用于设置目标系统的地址、端口和协议等。如果要查看密码攻击的过程,将Output Options框中的Show Atempts复选框勾上。在该界面单击Passwords选项卡,将显示如图所示的界面。
(3)在该界面指定用户名和密码列表文件。本例中使用Kali系统中存在的用户名和密
码列表文件,并选择Loop around users选项。
用户名文件保存在
/usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/names/nameslist.txt
密码文件保存在
/usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/passwds/john.txt
(4)设置好密码字典后,单击Tuning选项卡,将显示如图所示的界面。
(5)在该界面设置任务的编号和超时时间。如果运行任务太多的话,服务的响应速率
将下降。所以要建议将原来默认的任务编号16修改为2,超时时间修改为15。然后将Exitafter first found pair的复选框勾上,表示找到第一对匹配项时则停止攻击。
(6)以上的配置都设置完后,单击到Start选项卡进行攻击,如图所示。
(7)在该界面显示了四个按钮,分别是启动、停止、保存输出和清除输出。这里单击Start按钮开始攻击,攻击过程如图所示。
(8)xHydra工具根据自定的用户名和密码文件中的条目,进行匹配。当找到匹配的用户名和密码时,则停止攻击。
参考书籍:《Kali Linux渗透测试技术详解》
