شرح اداة كسر كلمات المرور hydra proxy

 

     

اداة hydra

أداة Hydra هي أداة اختبار تخمين كلمات المرور المستخدمة في أنظمة Linux و Windows والبروتوكولات المختلفة مثل FTP و SSH و Telnet و SMB وغيرها. يمكن استخدام Hydra لتنفيذ هجمات التخمين على كلمات المرور المختلفة باستخدام قائمة كبيرة من كلمات المرور واسماء المستخدمين. يمكن للمستخدمين تخصيص إعدادات الاختبار وتحديد أنواع الاستجابة المسموح بها وما إذا كانت النتيجة ناجحة أو لا.

يتم استخدام Hydra عادة من قبل مختبري الأمن والمهاجمين الأخلاقيين لاختبار قوة كلمات المرور واحتمالية اختراق النظام. يجب استخدام Hydra بشكل مسؤول وفقًا للقوانين واللوائح المحلية والدولية.

استخدامات hydra

يمكن استخدام أداة Hydra لتنفيذ العديد من المهام المختلفة، بما في ذلك:

1. اختبار قوة كلمات المرور: يمكن استخدام Hydra لاختبار قوة كلمات المرور المستخدمة في نظام ما، من خلال تنفيذ هجمات التخمين على كلمات المرور باستخدام قائمة كبيرة من الكلمات المحتملة.
2. اختبار الأمان: يمكن استخدام Hydra لاختبار مدى أمان الأنظمة والتطبيقات المختلفة، من خلال تنفيذ هجمات التخمين على كلمات المرور وتقييم مدى صعوبة اختراق النظام.
3. استعادة كلمات المرور: يمكن استخدام Hydra لمحاولة استعادة كلمات المرور المفقودة أو المنسية، من خلال تنفيذ هجمات التخمين على كلمات المرور باستخدام قائمة كبيرة من الكلمات المحتملة.
4. اختبار الشبكات: يمكن استخدام Hydra لاختبار أمن الشبكات المختلفة، من خلال تنفيذ هجمات التخمين على كلمات المرور على البروتوكولات المختلفة مثل FTP و SSH و Telnet و SMB وغيرها.
5.  اختبار التطبيقات: يمكن استخدام Hydra لاختبار أمان التطبيقات المختلفة، من خلال تنفيذ هجمات التخمين على كلمات المرور على الواجهات البرمجية والصفحات الإلكترونية المختلفة.

تنزيل اداه hydra علئ linux

يمكنك تنزيل أداة "Hydra" على نظام Linux عن طريق اتباع هذه الخطوات:

•  فتح تطبيق الطرفية (Terminal).

• تأكد من أن نظامك محدث بأحدث حزم البرامج عن طريق تشغيل الأمر:

   

     sudo apt update
  

   

•  بعد التأكد من تحديث النظام، قم بتثبيت أداة "Hydra" عن طريق تشغيل الأمر:

   

     sudo apt install hydra
  

   

•  ستُطلب منك كلمة مرور المسؤول. قم بإدخال كلمة المرور وانتظر حتى يتم تنزيل وتثبيت الأداة.

•  بمجرد الانتهاء من التثبيت، يمكنك استخدام أمر Hydra في الطرفية لتنفيذ الهجمات واختبار الأمان.

يرجى ملاحظة أن استخدام أدوات الاختراق وتنفيذ الهجمات بدون إذن قانوني مسبق يتعدى حدود القانون والأخلاق. يُرجى استخدام هذه الأدوات فقط لأغراض تعليمية أو في إطار أمني مشروع مع إذن أحد الأطراف المعنية.

تنزيل اداة hydra علئ termux

بالطبع! هناك طريقة أخرى لتثبيت أداة Hydra على تطبيق Termux على جهازك النقال. يمكنك اتباع الخطوات التالية:

•  قم بفتح تطبيق Termux على جهازك النقال.

•  قم بتحديث حزم البرامج عن طريق تشغيل الأمر التالي في الطرفية:

 

     pkg update
  

   

•  بعد ذلك، قم بتثبيت أداة Hydra عن طريق تشغيل الأمر التالي:

   

     pkg install hydra
  

   

• بعد اكتمال عملية التثبيت، يمكنك التحقق من تثبيت Hydra بتشغيل الأمر التالي:

  

     hydra --version
  

  

بعد اتمام هذه الخطوات، تكون قد قمت بتثبيت أداة Hydra بنجاح على تطبيق Termux على جهازك النقال. يمكنك الآن استخدام Hyrda لأغراض الاختبار أو في إطار أمني مشروع ومشروع قانوني. يرجى التأكد من استخدام الأداة بشكل قانوني وأخلاقي وفقًا للشروط والقوانين المحلية والدولية.

اوامر hydra

Hydra هي أداة قوية لاختبار الأمان واختبار قوة كلمات المرور وهي تدعم العديد من البروتوكولات المختلفة. والأوامر الأساسية لـ Hydra هي:

• hydra -l [username] -P [password list file] [target] [protocol] : يقوم هذا الأمر بتنفيذ هجوم التخمين على كلمات المرور باستخدام قائمة من الكلمات المرور المحتملة ويستخدم اسم المستخدم المعطى للدخول إلى النظام.

• hydra -l [username] -p [password] [target] [protocol]: يقوم هذا الأمر بتنفيذ هجوم التخمين على كلمة المرور باستخدام كلمة المرور المعينة ويستخدم اسم المستخدم المعطى للدخول إلى النظام.

• hydra -L [user list file] -P [password list file] [target] [protocol]: يقوم هذا الأمر بتنفيذ هجوم التخمين على كلمات المرور باستخدام قائمة من أسماء المستخدمين وقائمة من الكلمات المرور المحتملة.

•  hydra -M [target list file] -l [username] -P [password list file] [protocol] : يقوم هذا الأمر بتنفيذ هجوم التخمين على كلمات المرور باستخدام قائمة من الأهداف ويستخدم اسم المستخدم المعطى للدخول إلى الأهداف.

• hydra -S -l [username] -P [password list file] [target] [protocol] : يقوم هذا الأمر بتنفيذ هجوم التخمين على كلمات المرور بشكل متسلسل، أي يتم تجربة كل كلمة مرور على كل مستخدم قبل الانتقال إلى المستخدم الذي يليه.

تخمين كلمات مرور على صفحة تسجيل دخول بستخدام hydra

بالطبع! يمكن استخدام Hydra لتخمين كلمات مرور على صفحة تسجيل دخول. عادةً ما يكون التخمين باستخدام Hydra موجهًا إلى بروتوكول HTTP أو HTTPS.

هذا هو مثال على كيفية استخدام Hydra لتخمين كلمة المرور على صفحة تسجيل دخول HTTP:

hydra -L userlist.txt -P passwordlist.txt [target] http-post-form "/login.php:username=^USER^&password=^PASS^:Login Failed"

في هذا المثال، يتم تخمين كلمات المرور باستخدام قائمة من أسماء المستخدمين (تخزينها في ملف userlist.txt) وقائمة من الكلمات المرور (تخزينها في ملف passwordlist.txt). يتم استخدام بروتوكول HTTP للاتصال بالهدف، ويتم استخدام الأمر http-post-form للتفاعل مع نموذج تسجيل الدخول. يتم تحديد أسم المستخدم وكلمة المرور باستخدام ^USER^ و ^PASS^ على التوالي. ويتم تحديد النموذج الذي يظهر عند تسجيل الدخول الناجح والفاشل باستخدام "Login Failed".

تخمين كلمات مرور على صفحة تسجيل دخول بستخدام hydra بشكل متسلسل

يمكن استخدام الأمر التالي لتنفيذ هجوم تخمين كلمات المرور بشكل متسلسل باستخدام Hydra:

hydra -S -l [username] -P [password list file] [target URL] http-post-form"[login_url]:username=^USER^&password=^PASS^&submit=Login:Login failed"

حيث:

• - -S يفيد بتنفيذ الأمر بشكل متسلسل.
• - -l [username] يمكن استخدامه لتحديد اسم المستخدم الذي سيتم استخدامه في عملية تسجيل الدخول.
• - -P [password list file] يحدد مسار ملف الكلمات المرور المستخدمة في عملية التخمين.
• - [target URL] يحدد العنوان الذي يتم الهجوم عليه.
• - http-post-form يحدد البروتوكول المستخدم في عملية تسجيل الدخول.
• - [login_url] يحدد عنوان URL لصفحة تسجيل الدخول.
• - username=^USER^&password=^PASS^&submit=Login هو تنسيق POST الذي يتم استخدامه في عملية تسجيل الدخول.
• - Login failed يحدد رسالة الخطأ التي يجب البحث عنها في صفحة تسجيل الدخول.

يمكن تعديل هذا الأمر حسب احتياجاتك، مثل استخدام بروتوكول آخر، أو إضافة المزيد من المعلمات للحصول على نتائج أكثر دقة.

تخمين كلمات مرور على ssh بستخدام hydra

يمكن استخدام Hydra لتخمين كلمات مرور SSH باستخدام الأمر التالي:

hydra -l <username> -P <password file> ssh://<target IP address or hostname>

حيث:

• - `-l <username>`: يحدد اسم المستخدم الذي سيتم استخدامه في عملية تسجيل الدخول.
• - `-P <password file>`: يحدد مسار إلى ملف الكلمات المرور المستخدمة في عملية التخمين.
• - `ssh://<target IP address or hostname>`: يحدد عنوان IP أو اسم المضيف الذي سيتم الهجوم عليه.

بعد تشغيل الأمر، سيبدأ Hydra في تخمين كلمات المرور باستخدام المستخدم وكلمات المرور الموجودة في ملف الكلمات المرور. سيقوم Hydra بإرسال طلبات SSH للمضيف المستهدف باستخدام اسم المستخدم والكلمة المرور المحددة، وسيقوم بتحليل الردود لتحديد ما إذا كانت الكلمة المرور الحالية صحيحة أم لا.

يمكن تخصيص الأمر حسب احتياجاتك، مثل تحديد عدد المحاولات المسموح بها قبل الانتقال إلى كلمة مرور جديدة، أو تحديد بروتوكول آخر مثل Telnet بدلاً من SSH.

تخمين كلمات مرور على FTP بستخدام hydra

يمكن استخدام Hydra لتخمين كلمات المرور على FTP باستخدام الأمر التالي:

hydra -l <username> -P <password file> ftp://<target IP address or hostname>

حيث:

• - `-l <username>`: يحدد اسم المستخدم الذي سيتم استخدامه في عملية تسجيل الدخول.
• - `-P <password file>`: يحدد مسار إلى ملف الكلمات المرور المستخدمة في عملية التخمين.
• - `ftp://<target IP address or hostname>`: يحدد عنوان IP أو اسم المضيف الذي سيتم الهجوم عليه.

بعد تشغيل الأمر، سيبدأ Hydra في تخمين كلمات المرور باستخدام المستخدم وكلمات المرور الموجودة في ملف الكلمات المرور. سيقوم Hydra بإرسال طلبات FTP للمضيف المستهدف باستخدام اسم المستخدم والكلمة المرور المحددة، وسيقوم بتحليل الردود لتحديد ما إذا كانت الكلمة المرور الحالية صحيحة أم لا.

يمكن تعديل الأمر حسب احتياجاتك، مثل تحديد عدد المحاولات المسموح بها قبل الانتقال إلى كلمة مرور جديدة، أو تحديد بروتوكول آخر مثل SSH بدلاً من FTP.

تخمين كلمات مرور على MySql بستخدام hydra

يمكن استخدام Hydra لتخمين كلمات المرور على MySQL باستخدام الأمر التالي:

hydra -L <username file> -P <password file> <target IP address or hostname> mysql

حيث:

• - `-L <username file>`: يحدد مسار إلى ملف يحتوي على أسماء المستخدمين التي سيتم استخدامها في عملية التخمين.
• - `-P <password file>`: يحدد مسار إلى ملف الكلمات المرور المستخدمة في عملية التخمين.
• - `<target IP address or hostname>`: يحدد عنوان IP أو اسم المضيف الذي ستتم الهجوم عليه.
• - `mysql`: يحدد استخدام بروتوكول MySQL.

بعد تشغيل الأمر، سيقوم Hydra بتخمين كلمات المرور الموجودة في ملف الكلمات المرور باستخدام كل اسم مستخدم في ملف الأسماء. سيقوم Hydra بإرسال طلبات MySQL إلى المضيف المستهدف باستخدام كل اسم مستخدم وكلمة مرور محددة، وسيقوم بتحليل الردود لتحديد ما إذا كانت الكلمة المرور الحالية صحيحة أم لا.

يمكن تعديل الأمر حسب احتياجاتك، مثل تغيير ملف الأسماء أو ملف الكلمات المرور، أو تحديد المنفذ المستخدم في MySQL بدلاً من استخدام المنفذ الافتراضي.

شرح اداة hydta بشكل عملي

 

إذا كنت ترغب في استخدام أداة Hydra لاختراق حساب SSH، فعليك البحث عن معلومات التهيئة الأساسية حول الخادم المستهدف، مثل عنوان IP ونوع نظام التشغيل وسياسات الدخول وتسجيل الدخول. يمكنك استخدام أداة Nmap للعثور على المعلومات الأساسية عن الخادم المستهدف.

ومن أجل ذلك، بإمكانك تشغيل أمر `nmap -sV` على سطر الأوامر مع عنوان IP للخادم، هذا الأمر يقوم بفحص منافذ الخادم واستخراج بعض المعلومات الأساسية حول البروتوكولات المستخدمة مثل خادم SSH والإصدارات المستخدمة فيها.

بعد استخراج المعلومات اللازمة، يمكنك استخدام أداة Hydra مع ملف الوظائف الأساسية واعطاء اسم المستخدم والكلمة المرور التي تريد اختبارها لتخمين كلمة المرور للخادم المستهدف. يجب عليك التأكد من أن تم توفير الملف الصحيح لأداة Hydra وان يتوفر لك صلاحية الوصول للاختراق.

ملاحظة: يجب أن تكون مؤهلاً للقيام بعملية الاختراق ويمنع قانونياً قيامك بأي أنشطة مخالفة للقوانين والأنظمة المعمول بها.

 

 

الآن سيتم عرض ثلاث مخارج (بورتات) مفتوحة تستطيع استخدام أي منها.
في المثال القادم، سنستهدف المخرج (بورت) 22 وهو بروتوكول ssh للولوج إلى داخل الخادم.  بصفتنا تجربة أو اختبار، سنقوم بإنشاء ملف فارغ يحتوي على أسماء المستخدمين وكلمات المرور، بحيث نتمكن من تنفيذ عملية تخمين.
وذلك لأنه في إختبارات النظم (pts)، سيتم تزويدك بملف لتتمكّن من تنفيذ عملية التخمين عبر هذا الملف من أجل الوصول للإجابة المطلوبة.

 

 

 

تم إنشاء ملفين، الأول للمستخدمين والثاني لكلمات المرور. جيد، الآن سنتوجه إلى برنامج Hydra لنتعلم المزيد عنه.

 

 

الآن قمت بكتابة الأمر "hydra" لعرض جميع التعليمات المتاحة له. على سبيل المثال، إذا كنت لا تعرف اسم المستخدم، يمكنك استخدام الأمر بالشكل التالي:

hydra -l user -P pass.txt ssh://ip_address

يتم استخدام "user" كاسم للملف الذي يحوي على قائمة من أسماء المستخدمين. أما -P فيأخذ اسم الملف الذي يحتوي على قائمة تحتوي على كلمات المرور المحتملة.

قاعدة بسيطة: إذا كانت الحروف كبيرة في الأمر، فهذا يعني أنه تعرف المعلومة المطلوبة (مثل اسم المستخدم أو كلمة المرور)، أما إذا كانت الحروف صغيرة، فيعني أنه لا يعرف المعلومة.

بعد ذلك، نقوم بتحديد نوع الخادم الذي يتم استهدافه، مثل SSH أو FTP أو MySQL. يتم ذلك عن طريق كتابة نوع الخادم بعد العلامتين ":" قبل كتابة عنوان IP الخاص بالضحية.

على سبيل المثال، إذا كنت تريد استهداف خادم SSH، يمكنك استخدام الأمر بالشكل التالي:

ssh://ip_address

أخيرا، يتم إدخال عنوان IP الخاص بالضحية، وسوف يتم بعد ذلك تنفيذ الأمر.

 

 

تم إتباع الخطوات التالية:

• - تشغيل أداة Hydra ثم كتابة الحرف L بحروف كبيرة.
• - تم سحب الملف بشكل أسرع ويمكن كتابته بشكل يدوي.
• - استخدم الحرف P بحروف كبيرة أيضًا لأن كلمة المرور غير معروفة ولم يتم العثور عليها.
• - بعد ذلك، تم استهداف الاتصال بخادم SSH الذي يعمل على البورت 22.
• - عند الضغط على Enter، تم عرض اسم المستخدم وكلمة المرور بنجاح.

 

 

يمكن استخدام اسم المستخدم وكلمة المرور "msfadmin" للدخول إلى الخادم من أي مكان، ويقوم أداة Hydra بتخمين كلمات المرور وأسماء المستخدمين للخوادم بشكل عام. بالتالي، يمكن اختصار موضوع Hydra بشكل مفهوم وبسيط.