經過了 22 天的學習和努力後,我們稍微整理一下現在能做到的事情包含哪些:
接下來,我打算再介紹一個新的工具,它能夠暴力破解密碼、支援多種協定、突破系統和網路、測試資訊安全。在網路上要找到相關資料比較少,但仍然可以透過官方網站、國外文章和一些比較小眾的 Youtuber 來發現這套工具。
⚠️ 警告:本文僅供資安防護、教育與授權測試參考。未經授權使用 Hydra 進行破解或攻擊為違法行為。
Hydra 是由「駭客選擇」(The Hacker's Choice)國際駭客組織撰寫的工具。THC 致力於資安工作,也在各工作領域為公眾服務,提供學術文獻或是揭露不安全的資安問題。
可以提供使用者做密碼暴力破解,在進行破解之前需要先蒐集相關資料,比如:目標裝置的 IP 位址、連接阜、網路協議、密碼字典...等。
另外,Hydra 就是希臘神話中的九頭蛇,我自己覺得這個 Logo 設計也滿酷的哈哈!
可使用的網路協議包括:
網路協議 | 說明 | 預設阜 (port) |
---|---|---|
FTP | 檔案傳輸協議 | 21 |
SMTP | 簡易郵件傳輸協議 | 25 |
HTTP / HTTPS | 網頁傳輸協議(HTTP: 80,HTTPS: 443) | 80 / 443 |
SSH | 安全殼層(安全遠端登入) | 22 |
Telnet | 遠端連線協議(不加密,已較少使用) | 23 |
SMB | 伺服器訊息區塊(檔案與列印共用) | 445 |
RDP | 遠端桌面協議(Remote Desktop) | 3389 |
IMAP / IMAPS | 電子郵件協議(IMAP: 143,IMAPS(SSL): 993) | 143 / 993 |
MySQL | 資料庫服務 | 3306 |
PostgreSQL | 資料庫服務 | 5432 |
首先,到 THC 官方 Github 將 Hydra 的壓縮檔下載下來,網址:https://github.com/vanhauser-thc/thc-hydra/tree/master
解壓縮後把資料夾傳給你的 Kali Linux
scp -r thc-hydra-master <your_username>@<your_linux_IPv4>:/home/<your_username>/Desktop
# 舉例:scp -r thc-hydra-master raychao@192.100.10.103:/home/raychao/Desktop
打開你的 Kali Linux Terminal 輸入
cd ~/Desktop/thc-hydra-master
然後開始安裝
./configure
make
make install
如果你正確的看到這個畫面,那麼恭喜你已經成功安裝圖形化介面 Hydra 囉!
如果你的 Kali Linux 還沒有安裝 make
、gcc
可能會沒辦法正常安裝,所以你要先做以下事情:
sudo apt update && sudo apt upgrade
make
:sudo apt install make
gcc
:sudo apt install gcc
sudo apt install -y build-essential pkg-config \
libssl-dev libssh-dev libidn11-dev libpcre3-dev \
libgtk2.0-dev libglib2.0-dev
# 讓 shell 先重新掃描 PATH
hash -r
# 開始檢查
which hydra
which xhydra
目前官方 Github 提供的 release 版本為 9.6,但如果你去看 hydra -v
可能會看到 9.7。這有可能是 THC 他們把最新版本 commit 進去但是還沒更新公告。
如果你回去看 sudo apt install hydra
的 log 會發現,我們很多套件都是依賴 http://http.kali.org/kali
的套件,所以很有可能發現版本不一樣的問題。
如果你遇到的是權限不足的問題,可以嘗試在每個指令前面加上 sudo
以 root 最高權限執行。或者,你可以將權限先調整到 -rwxrwxrwx
,如果不知道怎麼調整權限可以回去看第四天:檔案權限與目錄配置。
⚠️ 警告:本文僅供資安防護、教育與授權測試參考。未經授權使用 Hydra 進行破解或攻擊為違法行為。
Medium 的文章
Kali Linux 官方網站介紹
HackerCat 的 Youtube 頻道