টিএইচসি হাইড্রা ইনস্টল করা হচ্ছে
থেকে THC হাইড্রা ডাউনলোড করুন https://github.com/vanhauser-thc/thc-hydra।
একবার ডাউনলোড হয়ে গেলে ফাইলগুলি বের করুন এবং নিম্নলিখিতগুলি সম্পাদন করুন:
সিডিthc- হাইড্রা-মাস্টার/
।/সজ্জিত করা
তৈরি করা
তৈরি করা ইনস্টল
আপনি যদি উবুন্টু/ডেবিয়ান ব্যবহার করেন, তাহলে নিম্নলিখিতগুলিও টাইপ করুন:
apt-get installlibssl-dev libssh-dev libidn11-dev libpcre3-dev
libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev
firebird-dev libmemcached-dev libgpg-error-dev
libgcrypt11-dev libgcrypt20-dev
CLI ব্যবহার
এখানে, আমরা সাধারণ প্রোটোকলের সাথে হাইড্রা কিভাবে ব্যবহার করতে হয় তা পরীক্ষা করি।
SSH/FTP/RDP/TELNET/MYSQL
একজনকে মনে রাখতে হবে যে হাইড্রা প্রায় 55 টি ভিন্ন প্রোটোকল নিয়ে কাজ করতে পারে। এগুলি ssh, ftp, rdp, telnet, এবং mysql এর মতো সবচেয়ে বেশি মোকাবিলা করা প্রোটোকলের কয়েকটি উদাহরণ। যাইহোক, একই নীতি অবশিষ্ট প্রোটোকলের ক্ষেত্রে প্রযোজ্য।
হাইড্রাকে একটি প্রোটোকলের সাথে কাজ করার জন্য, আপনাকে একটি ব্যবহারকারীর নাম (-l) অথবা ব্যবহারকারীর নাম (-এল), পাসওয়ার্ডের একটি তালিকা (একটি পাসওয়ার্ড ফাইল) এবং এর সাথে যুক্ত লক্ষ্য আইপি ঠিকানা প্রয়োজন হবে। প্রোটোকল আপনি ইচ্ছে করলে আরও প্যারামিটার যোগ করতে পারেন। উদাহরণস্বরূপ, ভার্বোসিটির জন্য -V।
হাইড্রা-দ্য <ব্যবহারকারীর নাম> -পি <পাসওয়ার্ড> <প্রোটোকল>://<আইপি>বিকল্পভাবে, আপনি এটিকে নিম্নরূপ ফর্ম্যাট করতে পারেন:
হাইড্রা-দ্য <ব্যবহারকারীর নাম> -পি <পাসওয়ার্ডফাইল> -এস <বন্দর> -ভি <আইপি> <প্রোটোকল>-l বা -L: ব্যবহারকারীর নাম বা ব্যবহারকারীর নামের তালিকা
-পি: পাসওয়ার্ড তালিকা
-খেলা
-V: verbose
: ftp/rdp/ssh/telnet/mysql/etc…
: আইপি ঠিকানা
উদাহরণস্বরূপ, FTP- এর জন্য:
হাইড্রা-ভি -ফ -দ্য <ব্যবহারকারীর নাম> -পি <পাসওয়ার্ড>ftp:// <আইপি>অথবা
হাইড্রা-দ্য <ব্যবহারকারীর নাম> -পি <পাসওয়ার্ডফাইল> -এস একুশ -ভি <আইপি> ftpHTTP-GET-FORM
অনুরোধের ধরন, GET বা POST এর উপর নির্ভর করে আপনি http-get-form অথবা http-post-form ব্যবহার করতে পারেন। পরিদর্শন উপাদানটির অধীনে, আপনি পৃষ্ঠাটি একটি GET বা POST কিনা তা বের করতে পারেন। ইউজারনেমে পাসওয়ার্ড খোঁজার চেষ্টা করার সময় আপনি http-get-form ব্যবহার করতে পারেন: ওয়েবে পাসওয়ার্ড সংমিশ্রণ (উদাহরণস্বরূপ, একটি ওয়েবসাইট)।
হাইড্রা-দ্য <ব্যবহারকারীর নাম> -পি <পাসওয়ার্ড> -ভি -ফ <আইপি>http-get-form a: b: c: d-l বা -L: ব্যবহারকারীর নাম বা ব্যবহারকারীর নামের তালিকা
-পি: পাসওয়ার্ড তালিকা
-f: পাসওয়ার্ড পাওয়া গেলে বন্ধ করুন
-V: verbose
একটি: লগইন পৃষ্ঠা
খ: ব্যবহারকারীর নাম/পাসওয়ার্ড সমন্বয়
c: লগইন ব্যর্থ হলে ত্রুটি বার্তা প্রাপ্ত
d: H = সেশন কুকি
উদাহরণস্বরূপ, ধরুন আমরা DVWA (ড্যাম ভলনারেবল ওয়েব অ্যাপ্লিকেশন) হ্যাক করতে চাই। Apache2 ব্যবহার করে অনলাইনে একবার, এটি আপনার স্থানীয় আইপি এ থাকা উচিত। আমার ক্ষেত্রে, এটি আছেhttp://10.0.2.15।
তাহলে:
: 10.0.2.15
প্রতি:/দুর্বলতা/বর্বর/
পরবর্তী, আমাদের খ এবং গ প্রয়োজন। সুতরাং, আসুন ভুয়া শংসাপত্র দিয়ে লগইন করার চেষ্টা করি (এখানে যা কিছু হবে)। সাইটটি এই বার্তাটি প্রদর্শন করে: ব্যবহারকারীর নাম বা পাসওয়ার্ড ভুল। অতএব, আমরা বার্তাটি ব্যবহার করব c:
c: ব্যবহারকারীর নাম বা পাসওয়ার্ড ভুল
সুতরাং, b নিম্নরূপ হবে:
খ:ব্যবহারকারীর নাম= 'ব্যবহারকারী'&পাসওয়ার্ড= 'পাস'&প্রবেশ করুন= লগইন#^USER input এবং ^PASS with দিয়ে ইনপুট করা শংসাপত্রগুলি প্রতিস্থাপন করুন যদি এটি একটি পোস্ট অনুরোধ ছিল, আপনি এই তথ্যটি পরিদর্শন উপাদান> অনুরোধ ট্যাবের অধীনে পাবেন।
পরবর্তী, পরিদর্শন উপাদান অধীনে, কুকি অনুলিপি করুন। এটি হবে d:
d:জ= কুকি:PHPSESSID= 3046g4jmq4i504ai0gnvsv0ri2;নিরাপত্তা= কমসুতরাং, উদাহরণস্বরূপ:
হাইড্রা-দ্যঅ্যাডমিন-পি /বাড়ি/কল্যাণী/rockyou.txt-ভি -ফ10.0.2.15 http-get-form<br/> <স্প্যানশৈলী=রঙ: #0000ff '>> /দুর্বলতা/স্প্যান>বর্বর/:ব্যবহারকারীর নাম= 'ব্যবহারকারী'&পাসওয়ার্ড= 'পাস'&প্রবেশ করুন= লগইন<br/>#: ব্যবহারকারীর নাম বা পাসওয়ার্ড ভুল:H = কুকি: PHPSESSID = 3046g4jmq4i504ai0gnvsv0ri2; নিরাপত্তা = কম
যখন আপনি এটি চালান, এবং যদি পাসওয়ার্ড তালিকায় থাকে, তাহলে এটি আপনার জন্য এটি খুঁজে পাবে।
যাইহোক, যদি এটি আপনার জন্য খুব বেশি কাজ বলে প্রমাণিত হয়, তবে চাপ দেওয়ার দরকার নেই কারণ এখানে একটি GUI সংস্করণও রয়েছে। এটি CLI সংস্করণের চেয়ে অনেক সহজ। THC হাইড্রার GUI সংস্করণকে বলা হয় হাইড্রা GTK।
হাইড্রা জিটিকে ইনস্টল করা হচ্ছে
উবুন্টুতে, আপনি কেবল নিম্নলিখিত কমান্ডটি ব্যবহার করে হাইড্রা জিটিকে ইনস্টল করতে পারেন:
sudo apt-get installহাইড্রা-জিটিকে-এবংএকবার ইনস্টল হয়ে গেলে, আপনার নিম্নলিখিতগুলির প্রয়োজন হবে:
- একটি টার্গেট বা টার্গেটের তালিকা: এটি সেই প্রোটোকলের IP ঠিকানা যা আপনি আক্রমণ করতে চান
- পোর্ট নম্বর: প্রোটোকলের সঙ্গে যুক্ত পোর্ট নম্বর
- প্রোটোকল: ssh, ftp, mysql, ইত্যাদি ...
- ব্যবহারকারীর নাম: একটি ব্যবহারকারীর নাম বা ব্যবহারকারীর নামের একটি তালিকা ইনপুট করুন
- পাসওয়ার্ড বা পাসওয়ার্ড তালিকা
আপনি একটি বা একাধিক টার্গেট হ্যাক করতে চান কিনা তার উপর নির্ভর করে, আপনি টার্গেট বক্সে এক বা একাধিক টার্গেট ইনপুট করতে পারেন। ধরুন আপনি 999.999.999.999 এ অবস্থিত একটি এসএসএইচ (একটি জাল আইপি ঠিকানা, স্পষ্টতই) একটি একক লক্ষ্যবস্তুতে আক্রমণ করছেন। টার্গেট বক্সে, আপনি 999.999.999.999, এবং পোর্ট বিভাগে, আপনি 22 রাখবেন। প্রোটোকলের অধীনে, আপনি SSH রাখবেন। এটি verbose এবং শো প্রচেষ্টা বাক্সগুলিতে টিক দেওয়ার পরামর্শ দেওয়া হবে। ভার্বোজ বক্স টিএইচসি হাইড্রায় -v সমতুল্য, যখন শো প্রচেষ্টা বাক্স টিএইচসি হাইড্রায় -V এর সমতুল্য। হাইড্রা সম্পর্কে প্লাস পয়েন্ট হল যে এটি বিপুল সংখ্যক প্রোটোকল মোকাবেলা করতে পারে।
পরবর্তী ট্যাবে, আপনার পছন্দসই ব্যবহারকারীর নাম বা ব্যবহারকারীর নামের একটি তালিকা ইনপুট করুন (এই ক্ষেত্রে ব্যবহারকারীর নামের তালিকার অবস্থান)। উদাহরণস্বরূপ, ব্যবহারকারীর নাম তালিকায়, আমি /home/kalyani/usernamelist.txt রাখব। পাসওয়ার্ডের ক্ষেত্রেও একই কথা প্রযোজ্য। পাসওয়ার্ড ফাইলের অবস্থান পাসওয়ার্ড তালিকা নামক বাক্সে ইনপুট করা হয়। একবার এগুলি পূরণ হয়ে গেলে, বাকিগুলি সহজ। আপনি টিউনিং এবং সুনির্দিষ্ট ট্যাবগুলিকে ছেড়ে দিতে পারেন এবং স্টার্ট ট্যাবের নীচে স্টার্ট বোতামে ক্লিক করতে পারেন।
হাইড্রা জিটিকে টিএইচসি হাইড্রার তুলনায় ব্যবহার করা অনেক সহজ, যদিও তারা একই জিনিস। আপনি টিএইচসি হাইড্রা বা হাইড্রা জিটিকে ব্যবহার করুন, উভয়ই পাসওয়ার্ড ক্র্যাক করার দুর্দান্ত সরঞ্জাম। সাধারণত যে সমস্যার সম্মুখীন হতে হবে তা ব্যবহৃত পাসওয়ার্ড তালিকা আকারে আসবে। আপনি স্পষ্টভাবে অন্যান্য প্রোগ্রাম ব্যবহার করতে পারেন যেমন ক্রাঞ্চ এবং ওয়ার্ডলিস্ট জেনারেটর আপনার পাসওয়ার্ড তালিকা আপনার পছন্দ অনুযায়ী তৈরি করতে। যাইহোক, যদি আপনি আপনার ব্যবহারের জন্য পাসওয়ার্ড তালিকা তৈরি করতে পারেন, হাইড্রা একটি খুব শক্তিশালী মিত্র হতে পারে।
শুভ হ্যাকিং!