iT邦幫忙

2025 iThome 鐵人賽

DAY 23
0
佛心分享-IT 人自學之術

從零開始的 Linux 世界系列 第 23

【Day.23】滲透測試的第三步:Hydra 密碼暴力破解工具!

  • 分享至 

  • xImage
  •  

https://ithelp.ithome.com.tw/upload/images/20251007/20176048lnqlNx61YT.png

經過了 22 天的學習和努力後,我們稍微整理一下現在能做到的事情包含哪些:

  1. 建立自己的滲透測試實驗室(WSL、Hyper-V、Kali Linux)
  2. 對 Linux 有基礎的認知(指令、權限、操作介面)
  3. 對網路協議有基礎的認識(TCP、UDP、HTTP、HTTPS)
  4. 對加密演算法有基礎的認識(ECDHE、DH、ECC、Hash、RSA)
  5. OSI 七層網路協議認知(IPv4、IPv6、MAC Address、NAT、PAT)
  6. 學會工具的使用(Wireshark、Nmap、Packet Sender、GnuPG)

接下來,我打算再介紹一個新的工具,它能夠暴力破解密碼、支援多種協定、突破系統和網路、測試資訊安全。在網路上要找到相關資料比較少,但仍然可以透過官方網站、國外文章和一些比較小眾的 Youtuber 來發現這套工具。

⚠️ 警告:本文僅供資安防護、教育與授權測試參考。未經授權使用 Hydra 進行破解或攻擊為違法行為。

✒️ 什麼是 Hydra

Hydra 是由「駭客選擇」(The Hacker's Choice)國際駭客組織撰寫的工具。THC 致力於資安工作,也在各工作領域為公眾服務,提供學術文獻或是揭露不安全的資安問題。

可以提供使用者做密碼暴力破解,在進行破解之前需要先蒐集相關資料,比如:目標裝置的 IP 位址、連接阜、網路協議、密碼字典...等。

另外,Hydra 就是希臘神話中的九頭蛇,我自己覺得這個 Logo 設計也滿酷的哈哈!

🍀 功能和適用場景

可使用的網路協議包括:

網路協議 說明 預設阜 (port)
FTP 檔案傳輸協議 21
SMTP 簡易郵件傳輸協議 25
HTTP / HTTPS 網頁傳輸協議(HTTP: 80,HTTPS: 443) 80 / 443
SSH 安全殼層(安全遠端登入) 22
Telnet 遠端連線協議(不加密,已較少使用) 23
SMB 伺服器訊息區塊(檔案與列印共用) 445
RDP 遠端桌面協議(Remote Desktop) 3389
IMAP / IMAPS 電子郵件協議(IMAP: 143,IMAPS(SSL): 993) 143 / 993
MySQL 資料庫服務 3306
PostgreSQL 資料庫服務 5432

⚙️ 安裝與下載

首先,到 THC 官方 Github 將 Hydra 的壓縮檔下載下來,網址:https://github.com/vanhauser-thc/thc-hydra/tree/master

https://ithelp.ithome.com.tw/upload/images/20251007/20176048ukgZqJHwXw.png

解壓縮後把資料夾傳給你的 Kali Linux

scp -r thc-hydra-master <your_username>@<your_linux_IPv4>:/home/<your_username>/Desktop

# 舉例:scp -r thc-hydra-master raychao@192.100.10.103:/home/raychao/Desktop

https://ithelp.ithome.com.tw/upload/images/20251007/20176048hTfKMQgEWV.png

打開你的 Kali Linux Terminal 輸入

cd ~/Desktop/thc-hydra-master

然後開始安裝

./configure
make
make install

如果你正確的看到這個畫面,那麼恭喜你已經成功安裝圖形化介面 Hydra 囉!

https://ithelp.ithome.com.tw/upload/images/20251007/20176048QzDBmhgAgN.png

❓ 常見問題

如果你的 Kali Linux 還沒有安裝 makegcc 可能會沒辦法正常安裝,所以你要先做以下事情:

  1. 確認 Kali Linux 版本為最新:sudo apt update && sudo apt upgrade
  2. 安裝 makesudo apt install make
  3. 安裝 gccsudo apt install gcc
  4. 安裝 GUI 介面相關套件:
sudo apt install -y build-essential pkg-config \
  libssl-dev libssh-dev libidn11-dev libpcre3-dev \
  libgtk2.0-dev libglib2.0-dev
  1. 檢查一下是不是正確的被安裝
# 讓 shell 先重新掃描 PATH
hash -r

# 開始檢查
which hydra
which xhydra

目前官方 Github 提供的 release 版本為 9.6,但如果你去看 hydra -v 可能會看到 9.7。這有可能是 THC 他們把最新版本 commit 進去但是還沒更新公告。

如果你回去看 sudo apt install hydra 的 log 會發現,我們很多套件都是依賴 http://http.kali.org/kali 的套件,所以很有可能發現版本不一樣的問題。


如果你遇到的是權限不足的問題,可以嘗試在每個指令前面加上 sudo 以 root 最高權限執行。或者,你可以將權限先調整到 -rwxrwxrwx,如果不知道怎麼調整權限可以回去看第四天:檔案權限與目錄配置

⚠️ 警告:本文僅供資安防護、教育與授權測試參考。未經授權使用 Hydra 進行破解或攻擊為違法行為。

📄 參考資料

Medium 的文章
Kali Linux 官方網站介紹
HackerCat 的 Youtube 頻道


上一篇
【Day.22】CA 是什麼?憑證授權為什麼很重要?
下一篇
【Day.24】滲透測試的第三步:Hydra 操作介面
系列文
從零開始的 Linux 世界24
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言