THC ہائیڈرا انسٹال کرنا۔
سے THC ہائیڈرا ڈاؤن لوڈ کریں۔ https://github.com/vanhauser-thc/thc-hydra۔
ایک بار ڈاؤن لوڈ ہونے کے بعد ، فائلیں نکالیں ، اور درج ذیل پر عمل کریں:
سی ڈیٹی سی ہائیڈرا ماسٹر/
./ترتیب دیں
بنانا
بنانا انسٹال کریں
اگر آپ Ubuntu/Debian استعمال کر رہے ہیں تو درج ذیل کو بھی ٹائپ کریں:
apt-get installlibssl-dev libssh-dev libidn11-dev libpcre3-dev
libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev
firebird-dev libmemcached-dev libgpg-error-dev
libgcrypt11-dev libgcrypt20-dev
CLI استعمال۔
یہاں ، ہم جانچتے ہیں کہ عام پروٹوکول کے ساتھ ہائیڈرا کا استعمال کیسے کریں۔
SSH/FTP/RDP/TELNET/MYSQL۔
کسی کو یاد رکھنا چاہیے کہ ہائیڈرا تقریبا 55 55 مختلف پروٹوکول سے نمٹ سکتی ہے۔ یہ سب سے زیادہ نمٹنے والے پروٹوکول کی چند مثالیں ہیں ، جیسے ssh ، ftp ، rdp ، telnet ، اور mysql۔ تاہم ، باقی اصولوں پر بھی یہی اصول لاگو ہوتا ہے۔
ہائیڈرا کو پروٹوکول کے ساتھ کام کرنے کے ل you ، آپ کو یا تو صارف نام (-l) یا صارف ناموں کی فہرست (-L) ، پاس ورڈز کی فہرست (پاس ورڈ فائل) ، اور ٹارگٹ آئی پی ایڈریس کی ضرورت ہوگی۔ پروٹوکول. اگر آپ چاہیں تو آپ مزید پیرامیٹرز شامل کر سکتے ہیں۔ مثال کے طور پر ، -V فعل کے لیے۔
ہائیڈرا- <صارف نام> -پی <پاس ورڈ> <پروٹوکول>://<آئی پی>متبادل کے طور پر ، آپ اسے مندرجہ ذیل شکل بھی دے سکتے ہیں۔
ہائیڈرا- <صارف نام> -پی <پاس ورڈفائل> -س <بندرگاہ> -وی <آئی پی> <پروٹوکول>-l یا -L: صارف نام یا کوشش کرنے کے لیے صارف ناموں کی فہرست۔
-P: پاس ورڈ کی فہرست
-s: بندرگاہ
-V: فعل
: ftp/rdp/ssh/telnet/mysql/etc…
: IP پتہ
مثال کے طور پر ، ایف ٹی پی کے لیے:
ہائیڈرا-وی -ف - <صارف نام> -پی <پاس ورڈ>ایف ٹی پی:// &ایل ٹی؛آئی پی>یا
ہائیڈرا- <صارف نام> -پی <پاس ورڈفائل> -س اکیس -وی &ایل ٹی؛آئی پی> ftpHTTP-GET-FORM
درخواست کی قسم ، GET یا POST پر منحصر ہے ، آپ http-get-form یا http-post-form استعمال کرسکتے ہیں۔ معائنہ عنصر کے تحت ، آپ یہ جان سکتے ہیں کہ صفحہ GET یا POST ہے۔ ویب پر پاس ورڈ کا مجموعہ (مثال کے طور پر ، ایک ویب سائٹ) میں صارف نام: پاس ورڈ تلاش کرنے کی کوشش کرتے وقت آپ http-get-form استعمال کرسکتے ہیں۔
ہائیڈرا- <صارف نام> -پی <پاس ورڈ> -وی -ف <آئی پی>http-get-form a: b: c: d۔-l یا -L: صارف نام یا کوشش کرنے کے لیے صارف ناموں کی فہرست۔
-P: پاس ورڈ کی فہرست
-f: پاس ورڈ ملنے پر رکیں۔
-V: فعل
a: لاگ ان پیج۔
ب: صارف نام/پاس ورڈ کا مجموعہ۔
ج: لاگ ان ناکام ہونے پر غلطی کا پیغام موصول ہوا۔
d: H = سیشن کوکی۔
مثال کے طور پر ، فرض کریں کہ ہم DVWA کو ہیک کرنا چاہتے ہیں۔ اپاچی 2 کا استعمال کرتے ہوئے آن لائن ، یہ آپ کے مقامی آئی پی پر ہونا چاہیے۔ میرے معاملے میں ، یہ ہے۔http://10.0.2.15۔
تو ،
: 10.0.2.15۔
کو:/کمزوریاں/وحشی/
اگلا ، ہمیں b اور c کی ضرورت ہے۔ تو ، آئیے جعلی اسناد کے ساتھ لاگ ان کرنے کی کوشش کریں (یہاں کچھ بھی کرے گا)۔ سائٹ یہ پیغام دکھاتی ہے: صارف نام یا پاس ورڈ غلط ہے۔ لہذا ، ہم پیغام c استعمال کریں گے:
ج: صارف نام یا پاس ورڈ غلط ہے۔
تو ، b مندرجہ ذیل ہو گا:
ب:صارف نام= 'صارف'۔&پاس ورڈ= 'پاس'۔&لاگ ان کریں= لاگ ان#داخل کردہ اسناد کو ^USER ^اور AS PASS with سے تبدیل کریں۔ اگر یہ ایک POST درخواست تھی تو آپ کو یہ معلومات انسپکٹ عنصر> درخواست ٹیب کے تحت ملیں گی۔
اگلا ، معائنہ عنصر کے تحت ، کوکی کو کاپی کریں۔ یہ d ہوگا:
d:ایچ= کوکی:PHPSESSID= 3046g4jmq4i504ai0gnvsv0ri2سیکورٹی= کمتو ، مثال کے طور پر:
ہائیڈرا-منتظم-پی /گھر/کلیانی/rockyou.txt-وی -ف10.0.2.15 http-get-form۔<br/> <دورانیہسٹائل=رنگ: #0000ff '>> /کمزوریاں/دورانیہ>وحشی/:صارف نام= 'صارف'۔&پاس ورڈ= 'پاس'۔&لاگ ان کریں= لاگ ان<br/>#:صارف کا نام یا پاس ورڈ غلط:H = کوکی: PHPSESSID = 3046g4jmq4i504ai0gnvsv0ri2 security سیکورٹی = کم
جب آپ اسے چلاتے ہیں ، اور اگر پاس ورڈ فہرست میں ہے ، تو یہ آپ کو مل جائے گا۔
تاہم ، اگر یہ آپ کے لیے بہت زیادہ کام ثابت ہوتا ہے تو ، دباؤ ڈالنے کی ضرورت نہیں ہے کیونکہ یہاں GUI ورژن بھی ہے۔ یہ CLI ورژن سے بہت آسان ہے۔ THC ہائیڈرا کے GUI ورژن کو Hydra GTK کہا جاتا ہے۔
ہائیڈرا جی ٹی کے انسٹال کرنا
اوبنٹو میں ، آپ درج ذیل کمانڈ کا استعمال کرتے ہوئے صرف ہائیڈرا جی ٹی کے انسٹال کرسکتے ہیں۔
سودو apt-get installہائیڈرا جی ٹی کے-اورایک بار انسٹال ہونے کے بعد ، آپ کو درج ذیل کی ضرورت ہوگی۔
- اہداف یا اہداف کی فہرست: یہ اس پروٹوکول کا IP پتہ ہے جس پر آپ حملہ کرنا چاہتے ہیں۔
- پورٹ نمبر: پروٹوکول سے وابستہ پورٹ نمبر۔
- پروٹوکول: ssh ، ftp ، mysql ، وغیرہ…
- صارف نام: یا تو صارف کا نام داخل کریں یا صارف ناموں کی فہرست۔
- پاس ورڈ یا پاس ورڈ کی فہرست۔
اس پر منحصر ہے کہ آپ ایک یا ایک سے زیادہ اہداف کو ہیک کرنا چاہتے ہیں ، آپ یا تو ایک یا کئی اہداف کو ٹارگٹ باکس میں داخل کر سکتے ہیں۔ فرض کریں کہ آپ ایک ہی ہدف پر حملہ کر رہے ہیں ، ایک SSH ، جو 999.999.999.999 پر واقع ہے (ایک جعلی IP پتہ ، ظاہر ہے)۔ ٹارگٹ باکس میں ، آپ 999.999.999.999 ڈالیں گے ، اور پورٹ سیکشن میں ، آپ 22 ڈالیں گے۔ پروٹوکول کے تحت ، آپ SSH ڈالیں گے۔ یہ مشورہ دیا جائے گا کہ be verbose اور شو کی کوشش والے خانوں کو بھی نشان زد کریں۔ بی وربوس باکس THC ہائیڈرا میں -v کے برابر ہے ، جبکہ شو کی کوششوں کا باکس THC ہائیڈرا میں -V کے برابر ہے۔ ہائیڈرا کے بارے میں پلس پوائنٹ یہ ہے کہ یہ بڑی تعداد میں پروٹوکول سے نمٹ سکتا ہے۔
اگلے ٹیب میں ، صارف نام جو آپ چاہتے ہیں یا صارف ناموں کی فہرست درج کریں (اس معاملے میں صارف ناموں کی فہرست کا مقام)۔ مثال کے طور پر ، صارف نام کی فہرست میں ، میں /home/kalyani/usernamelist.txt ڈالوں گا۔ پاس ورڈز کا بھی یہی حال ہے۔ پاس ورڈ فائل کا مقام باکس میں داخل ہوتا ہے جسے پاس ورڈ لسٹ کہتے ہیں۔ ایک بار جب یہ پُر ہو جائیں تو باقی کام آسان ہو جاتا ہے۔ آپ ٹیوننگ اور مخصوص ٹیبز کو چھوڑ سکتے ہیں اور اسٹارٹ ٹیب کے نیچے اسٹارٹ بٹن پر کلک کریں۔
ہائیڈرا GTK THC ہائیڈرا کے مقابلے میں استعمال کرنا بہت آسان ہے ، حالانکہ وہ ایک ہی چیز ہیں۔ چاہے آپ ٹی ایچ سی ہائیڈرا یا ہائیڈرا جی ٹی کے استعمال کریں ، دونوں پاس ورڈ کریک کرنے کے لیے بہترین ٹولز ہیں۔ عام طور پر درپیش مسئلہ استعمال شدہ پاس ورڈ کی فہرست کی صورت میں آئے گا۔ آپ واضح طور پر دوسرے پروگراموں جیسے کرنچ اور ورڈ لسٹ جنریٹرز کو اپنے پاس ورڈ لسٹ کو اپنی پسند کے مطابق استعمال کر سکتے ہیں۔ تاہم ، اگر آپ پاس ورڈ کی فہرست کو اپنے استعمال کے مطابق بھی بنا سکتے ہیں تو ، ہائیڈرا بہت طاقتور اتحادی بن سکتا ہے۔
ہیکنگ مبارک ہو!