Hedef Uygulama Üzerinde Yetkili Kullanıcılara Yönelik Brute Force Parola Denemeleri

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef sistemdeki yetkili kullanıcı hesabının parolasını kırmak.

Araç:

  • Hydra 7.4.2

Adımlar:

  • İlk olarak giriş formunda gönderilen isteğin hangi HTTP metodunu kullandığı (POST, GET), kullanıcı adı ve parola parametrelerinin isimleri, formun geçerli sayılması için başka zorunlu parametreler varsa bunların tespit edilmesi gerekir. Bu aşamada ya HTML formunun kodlarına bakarak bu bilgiler elde edilir ya da bir web proxy uygulaması ile isteğin hazır hali alınabilir.
  • Ayrıca sayfanın hatalı girişlerde görünüp başarılı girişlerde görünmeyen bir bölümü tespit edilmedilir. Yanlış kullanıcı adı veya şifre mesajı ya da giriş formunun bir parçası bu amaçla seçilebilir.
  • Bu bilgiler toplandıktan sonra Hydra şu parametrelerle çalıştırılır.
-P password.txt 	(denenecek parolaların listesi, -p ile tek şifre de belirtilebilir.)
-l bga			(denenecek kullanıcı adı, -L ile liste de belirtilebilir.)
-t 3			(çalışacak thread sayısı)
localhost		(hedef adres)
Http-form-post          (kullanılacak modül, http(s)-form-get/post modülleri mevcut.)

 /test.php:username=^USER^&pass=^PASS^&giris=Giriş:Yanlış Şifre
(hedef sayfa:kullanıcı adı parametresi=^USER^&parola parametresi=^PASS^&diğer parametreler ve değerleri:Hatalı giriş mesajı)

-v			(detayları göster)
-V			(denemeleri göster)

Kaynak:[değiştir]

  • Hydra Man Sayfası (man hydra)