THC हाइड्रा स्थापित करना
से टीएचसी हाइड्रा डाउनलोड करें https://github.com/vanhauser-thc/thc-hydra।
एक बार डाउनलोड हो जाने पर, फ़ाइलें निकालें, और निम्नलिखित निष्पादित करें:
सीडीthc-हाइड्रा-मास्टर/
./कॉन्फ़िगर
बनाना
बनाना इंस्टॉल
यदि आप उबंटू/डेबियन का उपयोग कर रहे हैं, तो निम्न को भी टाइप करें:
उपयुक्त-स्थापित करेंlibssl-dev libssh-dev libidn11-dev libpcre3-dev
libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev
फायरबर्ड-देव libmemcached-देव libgpg-त्रुटि-देव
libgcrypt11-dev libgcrypt20-dev
सीएलआई
यहां, हम जांच करते हैं कि सामान्य प्रोटोकॉल के साथ हाइड्रा का उपयोग कैसे करें।
एसएसएच/एफ़टीपी/आरडीपी/टेलनेट/माईएसक्यूएल
यह याद रखना चाहिए कि हाइड्रा लगभग 55 विभिन्न प्रोटोकॉल से निपट सकता है। ये ssh, ftp, rdp, telnet, और mysql जैसे सबसे अधिक निपटाए जाने वाले प्रोटोकॉल के कुछ उदाहरण हैं। हालाँकि, वही सिद्धांत शेष प्रोटोकॉल पर लागू होता है।
हाइड्रा को एक प्रोटोकॉल के साथ काम करने के लिए, आपको या तो एक उपयोगकर्ता नाम (-l) या उपयोगकर्ता नामों की सूची (-L), पासवर्ड की एक सूची (एक पासवर्ड फ़ाइल) और लक्ष्य आईपी पते की आवश्यकता होगी। मसविदा बनाना। आप चाहें तो और पैरामीटर जोड़ सकते हैं। उदाहरण के लिए, -V वर्बोसिटी के लिए।
हीड्रा-NS <उपयोगकर्ता नाम> -पी <पासवर्ड> <मसविदा बनाना>://<आईपी>वैकल्पिक रूप से, आप इसे निम्नानुसार प्रारूपित भी कर सकते हैं:
हीड्रा-NS <उपयोगकर्ता नाम> -पी <पासवर्डफ़ाइल> -एस <बंदरगाह> -वी <आईपी> <मसविदा बनाना>-l या -L: प्रयास करने के लिए उपयोगकर्ता नाम या उपयोगकर्ता नामों की सूची
-पी: पासवर्ड सूची
-एस: पोर्ट
-V: वर्बोज़
: ftp/rdp/ssh/टेलनेट/mysql/आदि…
: आईपी पता
उदाहरण के लिए, एफ़टीपी के लिए:
हीड्रा-वी -एफ -NS <उपयोगकर्ता नाम> -पी <पासवर्ड>एफ़टीपी:// औरलेफ्टिनेंट;आईपी>या
हीड्रा-NS <उपयोगकर्ता नाम> -पी <पासवर्डफ़ाइल> -एस इक्कीस -वी औरलेफ्टिनेंट;आईपी> एफ़टीपीHTTP-प्राप्त करें-फॉर्म
अनुरोध के प्रकार, GET या POST के आधार पर, आप http-get-form या http-post-form का उपयोग कर सकते हैं। निरीक्षण तत्व के तहत, आप यह पता लगा सकते हैं कि पृष्ठ GET है या POST। वेब पर उपयोगकर्ता नाम: पासवर्ड संयोजन (उदाहरण के लिए, एक वेबसाइट) के लिए पासवर्ड खोजने का प्रयास करते समय आप http-get-form का उपयोग कर सकते हैं।
हीड्रा-NS <उपयोगकर्ता नाम> -पी <पासवर्ड> -वी -एफ <आईपी>http-get-form a:b:c:d-l या -L: प्रयास करने के लिए उपयोगकर्ता नाम या उपयोगकर्ता नामों की सूची
-पी: पासवर्ड सूची
-f: पासवर्ड मिलने पर रुकें
-V: वर्बोज़
ए: लॉगिन पेज
बी: उपयोगकर्ता नाम/पासवर्ड संयोजन
सी: लॉगिन विफल होने पर त्रुटि संदेश प्राप्त हुआ
डी: एच = सत्र कुकी
उदाहरण के लिए, मान लीजिए कि हम DVWA (डेमन वल्नरेबल वेब एप्लिकेशन) को हैक करना चाहते हैं। apache2 का उपयोग करके एक बार ऑनलाइन होने पर, यह आपके स्थानीय आईपी पर होना चाहिए। मेरे मामले में, यह at . हैhttp://10.0.2.15।
ऐसा:
: 10.0.2.15
प्रति:/कमजोरियों/क्रूर/
अगला, हमें b और c की आवश्यकता है। तो, आइए नकली क्रेडेंशियल के साथ लॉगिन करने का प्रयास करें (यहां कुछ भी करेगा)। साइट इस संदेश को प्रदर्शित करती है: उपयोगकर्ता नाम या पासवर्ड गलत। इसलिए, हम संदेश c का उपयोग करेंगे:
सी: उपयोगकर्ता नाम या पासवर्ड गलत
तो, बी इस प्रकार होगा:
बी:उपयोगकर्ता नाम=^उपयोगकर्ता^औरपासवर्ड=^पास^औरलॉग इन करें=लॉगिन#इनपुट किए गए क्रेडेंशियल को ^USER^ और ^PASS^ से बदलें। यदि यह एक POST अनुरोध था, तो आपको यह जानकारी निरीक्षण तत्व> अनुरोध टैब के अंतर्गत मिलेगी।
अगला, निरीक्षण तत्व के तहत, कुकी की प्रतिलिपि बनाएँ। यह डी होगा:
डी:एच= कुकी:PHPSESSID=३०४६g4jmq4i504ai0gnvsv0ri2;सुरक्षा= कमतो, उदाहरण के लिए:
हीड्रा-NSव्यवस्थापक-पी /घर/कल्याणी/रॉकयू.txt-वी -एफ10.0.2.15 http-get-form<NS/> <अवधिअंदाज='रंग: #0000ff'>> /कमजोरियों/अवधि>पशु/:उपयोगकर्ता नाम=^उपयोगकर्ता^औरपासवर्ड=^पास^औरलॉग इन करें=लॉगिन<NS/>#:उपयोगकर्ता नाम या पासवर्ड गलत है:H=कुकी:PHPSESSID=3046g4jmq4i504ai0gnvsv0ri2;सुरक्षा=कम
जब आप इसे चलाते हैं, और यदि पासवर्ड सूची में है, तो यह आपके लिए ढूंढ लेगा।
हालाँकि, यदि यह आपके लिए बहुत अधिक काम का साबित होता है, तो चिंता करने की आवश्यकता नहीं है क्योंकि एक GUI संस्करण भी है। यह सीएलआई संस्करण की तुलना में बहुत सरल है। THC हाइड्रा के GUI संस्करण को हाइड्रा GTK कहा जाता है।
हाइड्रा जीटीके स्थापित करना
उबंटू में, आप निम्न आदेश का उपयोग करके बस हाइड्रा जीटीके स्थापित कर सकते हैं:
सुडो उपयुक्त-स्थापित करेंहाइड्रा-gtk-तथाएक बार स्थापित होने के बाद, आपको निम्नलिखित की आवश्यकता होगी:
- लक्ष्य या लक्ष्यों की सूची: यह उस प्रोटोकॉल का आईपी पता है जिस पर आप हमला करना चाहते हैं
- पोर्ट नंबर: प्रोटोकॉल से जुड़ा पोर्ट नंबर
- प्रोटोकॉल: ssh, ftp, mysql, आदि…
- उपयोगकर्ता नाम: या तो उपयोगकर्ता नाम दर्ज करें या उपयोगकर्ता नामों की सूची दर्ज करें
- पासवर्ड या पासवर्ड सूची
इस पर निर्भर करते हुए कि आप एक या एक से अधिक लक्ष्यों को हैक करना चाहते हैं, आप लक्ष्य बॉक्स में एक या कई लक्ष्यों को इनपुट कर सकते हैं। मान लीजिए कि आप एक ही लक्ष्य पर हमला कर रहे हैं, एक एसएसएच, जो 999.999.999.999 पर स्थित है (जाहिर है, एक नकली आईपी पता)। लक्ष्य बॉक्स में, आप 999.999.999.999 डालेंगे, और पोर्ट सेक्शन में, आप 22 डालेंगे। प्रोटोकॉल के तहत, आप SSH डालेंगे। यह सलाह दी जाएगी कि be वर्बोज़ और शो अटेम्प्ट बॉक्स पर भी सही का निशान लगाया जाए। बी वर्बोज़ बॉक्स THC हाइड्रा में -v के बराबर है, जबकि शो प्रयास बॉक्स THC हाइड्रा में -V के बराबर है। हाइड्रा के बारे में प्लस पॉइंट यह है कि यह बड़ी संख्या में प्रोटोकॉल से निपट सकता है।
अगले टैब में, अपने इच्छित उपयोगकर्ता नाम या उपयोगकर्ता नामों की सूची (इस मामले में उपयोगकर्ता नामों की सूची का स्थान) दर्ज करें। उदाहरण के लिए, उपयोगकर्ता नाम सूची में, मैं /home/kalyani/usernamelist.txt डालूंगा। पासवर्ड के लिए भी यही सच है। पासवर्ड फ़ाइल का स्थान पासवर्ड सूची नामक बॉक्स में इनपुट किया जाता है। एक बार ये भर जाने के बाद, बाकी आसान हो जाता है। आप ट्यूनिंग और विशिष्ट टैब को वैसे ही छोड़ सकते हैं और स्टार्ट टैब के नीचे स्टार्ट बटन पर क्लिक कर सकते हैं।
THC हाइड्रा की तुलना में हाइड्रा GTK का उपयोग करना बहुत आसान है, भले ही वे एक ही चीज़ हों। चाहे आप टीएचसी हाइड्रा या हाइड्रा जीटीके का उपयोग करें, दोनों ही पासवर्ड क्रैक करने के लिए बेहतरीन उपकरण हैं। आम तौर पर सामने आई समस्या पासवर्ड सूची के रूप में उपयोग की जाएगी। आप अपनी पासवर्ड सूची को अपनी पसंद के अनुसार तैयार करने के लिए स्पष्ट रूप से अन्य प्रोग्राम जैसे क्रंच और वर्डलिस्ट जेनरेटर का उपयोग कर सकते हैं। हालाँकि, यदि आप पासवर्ड सूची को अपने उपयोग के लिए भी तैयार कर सकते हैं, तो हाइड्रा एक बहुत शक्तिशाली सहयोगी बन सकता है।
हैप्पी हैकिंग!