在线密码破解教程,web登录爆破(hydra的简单使用) |
您所在的位置:网站首页 › linux破解登陆密码工具有哪些 › 在线密码破解教程,web登录爆破(hydra的简单使用) |
hydra是一个极其强大的在线破解密码的工具(爆破神器)
——本文献给无聊的计算机系大学生们 密码破解从大类来分可以分为两种,一种是在线破解,这种方hydra式一般要求待破解的对象对我们来说是可以正常提供服务的,通俗来讲就是能够让我们通过一定的途径去尝试登录,或者是验证用户密码的正确性。而另一种就是本地破解,比如wifi抓包破解wifi密码,只要提前抓到了wifi登录验证的数据包,就可以在本地电脑上进行破解操作,而不需要路由器来参与验证密码的正确性。 本文主要给大家介绍第一种密码破解的方式,也就是在线破解。需要用到的工具是hydra,kali系统会默认安装,ubuntu使用sudo apt-get install hydra安装即可,其他Linux系统安装类似。此软件有图形界面——输入xhydra启动(如下图),但本文主要介绍其命令行界面的使用。 web登录页面破解演示: 下面拿路由器的后台管理页面来测试(如下图),用户名已知是root,所以只需要猜出出密码就好了。 -t 1 控制线程数 无此选项默认12线程,经过测试这个服务端线程开太多会无响应,所以在这里制定为1(大家应该自行尝试最佳线程数)。 -l root 指定单个用户名“root”。(可替换成-L 字典.txt来指定一系列用户名) -P cyzidian.txt 指定密码字典cyzidian.txt(可替换成-p 密码 指定单个密码,一般不常用)。 -o out.txt 将尝试过程与结果保存到out.txt -vV显示详细过程 -f 找到一个结果后停止 58.155.106.35 目标ip地址 http-post-form 使用http协议下的post方法进行破解 "/:username=^USER^&password=^PASS^:error" 最后这段字符串由三部分组成,由其中的两个冒号划分,第一部分只有一个”/“,是指定登录页面所在目录,这个例子刚好在根目录。第二部分:username=^USER^&password=^PASS^,由上文可知这就是刚刚在network中看到的POST提交的内容只是把用户名和密码部分换成了^USER^和^PASS^。USER对应前面的-l 后跟的用户名root,PASS会被字典中的密码逐个替换。最后一部分error是指定的判断密码是否正确的条件,默认是黑名单模式,也就是如果返回页面中存在”error“就说明这个密码不正确,原因是我们在随便输入一个错误密码后,会看到页面中多了一个类为error的标签(如下图): 回车运行 然后再运行 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |