Hydra Nedir ? Kullanımı ve Örnek Kodları

Hydra, kaba kuvvet (brute-force) kullanarak online olarak parola kırmaya yarayan bir araçtır.

Hydra aracı bir liste (wordlist) kullanılarak ve kaba kuvvet yani deneme yöntemiyle kimlik doğrulama sistemlerini atlatmak için kullanılabilecektir.

Örneğin; SSH, Web uygulama formu, FTP veya SNMP gibi belirli bir serviste manuel olarak parola tahmin etmeye çalışmak yerine hazır bir parola listesi kullanılarak Hydra aracından faydalanılabilir ve böylece doğru parolayı tahmin etme süresi çok kısalacaktır.

Hydra aşağıdaki protokollerde kaba kuvvet saldırısı gerçekleştirebilmektedir:

Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP,  HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 ve v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC ve XMPP.

Belirli bir protokol için opsiyonlarına bakmak üzere yukarıda linki verilmiş olan Kali Hydra resmi sayfasından faydalanılabilir.

Bu aracın kullanımı öğrenilirken aynı zamanda güçlü parola kullanımının önemi de ortaya çıkmaktadır. Eğer hazır parola listeleri içerisinde yer alan, sık kullanılan bir parola kullanıyorsanız ya da 8 karakterden uzun bir parolanız yoksa, Hydra benzeri araçların bu parolayı kırma süresi çok kısalmaktadır. Ayrıca “varsayılan” yani kullanılan servis ile birlikte gelen parolalar da hazır listeler içerisinde yer aldığından aynı riski yaratmaktadır.

Kali Linux kullanıyorsanız, Hydra aracı sistemde yüklü olarak gelir.

Eğer sisteminizde yoksa https://github.com/vanhauser-thc/thc-hydra linkinden indirilebilir.

Hydra – Brute Örnek Force Kodları