Klyda工具使用指南：检测Web应用程序的密码喷射和字典攻击漏洞

1. Klyda工具概述

Klyda是一款功能强大的Web应用程序安全漏洞检测工具，主要用于检测基于凭证的攻击漏洞。该工具是一个高度可配置的Python脚本，支持密码喷射技术和大规模多线程字典攻击。

主要特性

• 支持多线程任务
• 可结合字典文件实现大规模安全测试
• 支持将数据列入黑名单以缩小结果范围
• 可限制线程速度以更好地隐藏操作

2. 安装与配置

系统要求

• Python 3环境
• 推荐在Linux系统上运行（Linux通常自带Python）

安装步骤

1. 克隆项目仓库：

   git clone https://github.com/Xeonrx/Klyda
   

2. 安装依赖组件：

   pip install requests beautifulsoup4 colorama numpy
   

3. 查看帮助信息：

   python3 klyda.py -h
   

3. 工具使用详解

基本参数

目标URL (必需)

--url http://127.0.0.1

注意：不要针对单个Web页面执行测试

用户名参数

• 手动指定多个用户名：

  -u Admin User123 Guest
  

• 使用用户名文件：

  -U users.txt extra.txt
  

• 组合使用：

  -U users.txt -u Johnson924
  

密码参数

• 手动指定多个密码：

  -p password 1234 letmein
  

• 使用密码文件：

  -P passwords.txt extra.txt
  

• 组合使用：

  -P passwords.txt -p redklyda24
  

表单数据 (必需)

-d username:xuser password:xpass Login:Login

• xuser：用户名的占位符
• xpass：密码的占位符
• 格式为(key):(value)

高级功能

黑名单设置

• 字符串黑名单：

  --bstr "Login failed"
  

• 状态码黑名单：

  --bcde 404
  

• 内容长度黑名单：

  --blen 11
  

线程速率限制

--rate (# of requests) (minutes)

示例：

--rate 5 1  # 每分钟5个请求

4. 使用示例

针对DVWA的测试

python3 klyda.py --url http://127.0.0.1/dvwa/login.php -u user guest admin -p 1234 password admin -d username:xuser password:xpass Login:Login --bstr "Login failed"

针对Mutillidae的测试

python3 klyda.py --url http://127.0.0.1/mutillidae/index.php?page=login.php -u root -P passwords.txt -d username:xuser password:xpass login-php-submit-button:Login --bstr "Authentication Error"

5. 许可证

本项目遵循MIT开源许可证协议。

6. 项目地址

GitHub仓库：Klyda

注意：使用此类工具进行安全测试时，请确保已获得目标系统的授权，未经授权的测试可能构成违法行为。