Web安全攻击技术实战指南
1. THC-Hydra暴力破解密码
1.1 THC-Hydra简介
THC-Hydra(简称Hydra)是一款网络登录破解工具,属于在线破解器,可通过暴力破解网络服务来查找登录密码。暴力攻击是尝试所有可能的字符组合以猜测正确密码,这种方式虽耗时,但一定能找到答案。
1.2 准备工作
需要创建一个包含已知用户名的文本文件,如users.txt,内容示例如下:
admin test user user1 john1.3 操作步骤
- 分析登录请求:使用Burp Suite在DVWA捕获登录请求,发现请求地址为
/dvwa/login.php,包含username、password和login三个变量。 - 确定失败字符串:停止捕获请求后,检查浏览器响应,发现无效登录会重定向到登录页面。因此,将
login.php作为区分登录尝试是否失败的字符串,Hydra会用此判断用户名和密码组合是否被拒绝。 - 发起攻击:在终端输入以下命令:
hydra 1