穷举篇——常用的穷举方式
字数 3270 2025-08-14 12:04:09

Hydra暴力破解工具及各类服务穷举技术详解

一、Hydra工具详解与使用

1.1 Hydra基本参数

Hydra是著名黑客组织THC开发的开源暴力密码破解工具,Kali Linux自带无需安装。

常用参数:

  • -R:继续从上一次进度接着破解
  • -S:采用SSL链接
  • -s PORT:指定非默认端口
  • -l LOGIN:指定破解的用户名
  • -L FILE:指定用户名字典文件
  • -p PASS:指定单个密码(少用)
  • -P FILE:指定密码字典文件
  • -e ns:n:空密码试探,s:使用指定用户和密码试探
  • -C FILE:使用"登录名:密码"格式文件代替-L/-P参数
  • -M FILE:指定目标列表文件(一行一条)
  • -o FILE:指定结果输出文件
  • -f:找到第一对有效凭证后停止
  • -t TASKS:线程数(默认16)
  • -w TIME:最大超时时间(秒,默认30)
  • -v / -V:显示详细过程

1.2 Hydra实战应用

SSH服务爆破

hydra -L /root/pentest/user.txt -P /root/pentest/passwd.txt ssh://192.168.0.122 -f -o /root/pentest/ssh.txt -V

FTP服务爆破

hydra -L /root/pentest/user.txt -P /root/pentest/passwd.txt ftp://192.168.0.100 -f -o /root/pentest/ftp.txt -V

MSSQL服务爆破

hydra -L /root/pentest/user.txt -P /root/pentest/passwd.txt mssql://192.168.0.100 -f -o /root/pentest/mssql.txt -V

MySQL服务爆破

hydra -l root -P /root/pentest/passwd.txt mysql://192.168.0.100 -f -o /root/pentest/mysql.txt -V

注意:MySQL爆破过多可能出现拒绝连接,需在目标MySQL执行flush hosts

多IP批量爆破

hydra -l root -P /root/pentest/passwd.txt -M /root/pentest/file.txt -f -V -t 4 mysql

其他服务爆破示例

  • Oracle: hydra -P /root/passwd oracle://192.168.0.100 -f -o /root/oracle.txt -v
  • Redis: hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 redis
  • PostgreSQL: hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 postgresql

1.3 XHydra图形化工具

在Kali终端输入xhydra启动图形界面,包含:

  • Target页面:设置目标地址和端口
  • Password页面:配置字典文件
  • Tuning页面:调整线程和超时
  • Start页面:开始攻击

二、Metasploit穷举模块

2.1 常用auxiliary模块

  • auxiliary/scanner/ftp/ftp_login:FTP爆破
  • auxiliary/scanner/ssh/ssh_login:SSH爆破
  • auxiliary/scanner/telnet/telnet_login:Telnet爆破
  • auxiliary/scanner/smb/smb_login:SMB爆破
  • auxiliary/scanner/mssql/mssql_login:MSSQL爆破
  • auxiliary/scanner/mysql/mysql_login:MySQL爆破
  • auxiliary/scanner/oracle/oracle_login:Oracle爆破
  • auxiliary/scanner/postgres/postgres_login:PostgreSQL爆破
  • auxiliary/scanner/vnc/vnc_login:VNC爆破
  • auxiliary/scanner/pcanywhere/pcanywhere_login:pcAnywhere爆破
  • auxiliary/scanner/snmp/snmp_login:SNMP爆破

2.2 使用流程示例(MSSQL)

  1. 启动MSF:msfconsole
  2. 搜索模块:search scanner
  3. 使用模块:use auxiliary/scanner/mssql/mssql_login
  4. 查看参数:show options
  5. 配置参数:set RHOSTS 192.168.1.100
  6. 执行攻击:exploitrun

三、邮箱服务破解

3.1 邮箱服务检测

使用Nmap扫描邮件服务端口:

nmap -O -sV -Pn 192.168.0.100

重点关注25(SMTP)、110(POP3)、143(IMAP)等端口

3.2 MailCracker工具使用

  1. 导入目标邮箱(如c1ay@moonteam.com)
  2. 导入密码字典
  3. 设置SMTP服务器地址
  4. 测试连接
  5. 开始破解
  6. 使用获取的凭证登录验证

四、Web后台密码穷举

4.1 Burp Suite基本模块

  • Proxy:拦截修改HTTP请求/响应
  • Repeater:手动修改重发请求
  • Intruder:自动化攻击(密码爆破等)
  • Decoder:编码解码工具

4.2 单一用户枚举

  1. 配置浏览器代理(如127.0.0.1:8080)
  2. 捕获登录数据包
  3. 发送到Intruder模块
  4. 标记爆破字段(如password)
  5. 加载字典文件
  6. 开始攻击,通过Length/Status筛选结果

4.3 批量用户枚举

流程类似单一用户,区别在于:

  • 同时标记用户名和密码字段
  • 使用"Cluster bomb"攻击类型
  • 分别加载用户名字典和密码字典

4.4 验证码绕过技术

Cookie验证绕过

  1. 删除cookie字段测试
  2. 确认基于cookie验证后可绕过验证码

前端验证绕过

  1. 删除vcode等验证码字段
  2. 直接提交请求测试

Token验证绕过

  1. 从页面源码获取token值
  2. 在Intruder中设置正则匹配获取动态token
  3. 将线程数设为1避免并发问题

验证码识别

  • 使用reCAPTCHA或Pkav HTTP Fuzzer等工具
  • 自动识别验证码内容

五、WordPress后台破解

5.1 WPScan工具

常用参数:

  • --url:目标URL
  • -e u:枚举用户名
  • -e p:枚举插件
  • -e vp:枚举有漏洞的插件
  • -e t:枚举主题信息
  • -e vt:枚举存在漏洞的主题
  • -w:指定密码字典
  • --usernames:指定用户名字典
  • -t:线程数
  • --passwords/-P:密码字典

5.2 使用示例

  1. 更新数据库:wpscan --update
  2. 扫描站点:wpscan --url http://target/
  3. 枚举用户:wpscan --url http://target/ -e u
  4. 爆破后台:
wpscan --url http://target/ -P passwd.txt -u admin -t 20

六、Webshell密码破解

6.1 Cheetah工具

专用于Webshell密码爆破,特点:

  • 速度极快
  • 支持批量爆破
  • 自动伪造请求
  • 支持PHP/JSP/ASP/ASPX

使用示例:

  • PHP: python3 cheetah.py -u http://target/a.php -n 1000 -v -p pwd.list
  • ASP: python3 cheetah.py -u http://target/a.asp -n 1000 -v -p pwd.list
  • ASPX: python3 cheetah.py -u http://target/a.aspx -n 1000 -v -p pwd.list

6.2 Burp Suite爆破Webshell

  1. 发现Webshell路径
  2. 捕获提交数据包
  3. 发送到Intruder模块
  4. 标记密码字段
  5. 加载字典爆破
  6. 通过响应判断正确密码

七、phpMyAdmin破解

7.1 单线程工具

使用专用phpMyAdmin暴力破解工具v1.3

7.2 多线程工具

使用支持多线程的phpMyAdmin密码枚举工具

八、WFuzz高级爆破

8.1 WFuzz特点

  • 支持百万级字典
  • 高度可配置
  • 多种过滤选项

8.2 使用示例

wfuzz -c -z file,csdnpass.txt --hc 200 -u http://target/admin/login.php -d "user=admin&pw=FUZZ"

参数说明:

  • -c:彩色输出
  • -z:指定字典
  • --hc:隐藏特定状态码
  • -u:目标URL
  • -d:POST数据,FUZZ为占位符

关键总结

  1. 字典质量决定爆破成功率,建议使用针对性字典
  2. 线程控制避免触发防护机制或造成服务拒绝
  3. 验证码处理是Web爆破的主要障碍,需掌握多种绕过技术
  4. 协议识别准确判断服务类型选择合适工具
  5. 合法授权所有测试必须在授权范围内进行

通过组合使用这些工具和技术,可以系统性地测试目标系统的认证强度,发现弱密码漏洞。

Hydra暴力破解工具及各类服务穷举技术详解 一、Hydra工具详解与使用 1.1 Hydra基本参数 Hydra是著名黑客组织THC开发的开源暴力密码破解工具,Kali Linux自带无需安装。 常用参数: -R :继续从上一次进度接着破解 -S :采用SSL链接 -s PORT :指定非默认端口 -l LOGIN :指定破解的用户名 -L FILE :指定用户名字典文件 -p PASS :指定单个密码(少用) -P FILE :指定密码字典文件 -e ns :n:空密码试探,s:使用指定用户和密码试探 -C FILE :使用"登录名:密码"格式文件代替-L/-P参数 -M FILE :指定目标列表文件(一行一条) -o FILE :指定结果输出文件 -f :找到第一对有效凭证后停止 -t TASKS :线程数(默认16) -w TIME :最大超时时间(秒,默认30) -v / -V :显示详细过程 1.2 Hydra实战应用 SSH服务爆破 FTP服务爆破 MSSQL服务爆破 MySQL服务爆破 注意 :MySQL爆破过多可能出现拒绝连接,需在目标MySQL执行 flush hosts 多IP批量爆破 其他服务爆破示例 Oracle: hydra -P /root/passwd oracle://192.168.0.100 -f -o /root/oracle.txt -v Redis: hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 redis PostgreSQL: hydra -P /root/passlist.txt -e nsr -t 16 192.168.0.101 postgresql 1.3 XHydra图形化工具 在Kali终端输入 xhydra 启动图形界面,包含: Target页面:设置目标地址和端口 Password页面:配置字典文件 Tuning页面:调整线程和超时 Start页面:开始攻击 二、Metasploit穷举模块 2.1 常用auxiliary模块 auxiliary/scanner/ftp/ftp_login :FTP爆破 auxiliary/scanner/ssh/ssh_login :SSH爆破 auxiliary/scanner/telnet/telnet_login :Telnet爆破 auxiliary/scanner/smb/smb_login :SMB爆破 auxiliary/scanner/mssql/mssql_login :MSSQL爆破 auxiliary/scanner/mysql/mysql_login :MySQL爆破 auxiliary/scanner/oracle/oracle_login :Oracle爆破 auxiliary/scanner/postgres/postgres_login :PostgreSQL爆破 auxiliary/scanner/vnc/vnc_login :VNC爆破 auxiliary/scanner/pcanywhere/pcanywhere_login :pcAnywhere爆破 auxiliary/scanner/snmp/snmp_login :SNMP爆破 2.2 使用流程示例(MSSQL) 启动MSF: msfconsole 搜索模块: search scanner 使用模块: use auxiliary/scanner/mssql/mssql_login 查看参数: show options 配置参数: set RHOSTS 192.168.1.100 等 执行攻击: exploit 或 run 三、邮箱服务破解 3.1 邮箱服务检测 使用Nmap扫描邮件服务端口: 重点关注25(SMTP)、110(POP3)、143(IMAP)等端口 3.2 MailCracker工具使用 导入目标邮箱(如c1ay@moonteam.com) 导入密码字典 设置SMTP服务器地址 测试连接 开始破解 使用获取的凭证登录验证 四、Web后台密码穷举 4.1 Burp Suite基本模块 Proxy :拦截修改HTTP请求/响应 Repeater :手动修改重发请求 Intruder :自动化攻击(密码爆破等) Decoder :编码解码工具 4.2 单一用户枚举 配置浏览器代理(如127.0.0.1:8080) 捕获登录数据包 发送到Intruder模块 标记爆破字段(如password) 加载字典文件 开始攻击,通过Length/Status筛选结果 4.3 批量用户枚举 流程类似单一用户,区别在于: 同时标记用户名和密码字段 使用"Cluster bomb"攻击类型 分别加载用户名字典和密码字典 4.4 验证码绕过技术 Cookie验证绕过 删除cookie字段测试 确认基于cookie验证后可绕过验证码 前端验证绕过 删除vcode等验证码字段 直接提交请求测试 Token验证绕过 从页面源码获取token值 在Intruder中设置正则匹配获取动态token 将线程数设为1避免并发问题 验证码识别 使用reCAPTCHA或Pkav HTTP Fuzzer等工具 自动识别验证码内容 五、WordPress后台破解 5.1 WPScan工具 常用参数: --url :目标URL -e u :枚举用户名 -e p :枚举插件 -e vp :枚举有漏洞的插件 -e t :枚举主题信息 -e vt :枚举存在漏洞的主题 -w :指定密码字典 --usernames :指定用户名字典 -t :线程数 --passwords / -P :密码字典 5.2 使用示例 更新数据库: wpscan --update 扫描站点: wpscan --url http://target/ 枚举用户: wpscan --url http://target/ -e u 爆破后台: 六、Webshell密码破解 6.1 Cheetah工具 专用于Webshell密码爆破,特点: 速度极快 支持批量爆破 自动伪造请求 支持PHP/JSP/ASP/ASPX 使用示例: PHP: python3 cheetah.py -u http://target/a.php -n 1000 -v -p pwd.list ASP: python3 cheetah.py -u http://target/a.asp -n 1000 -v -p pwd.list ASPX: python3 cheetah.py -u http://target/a.aspx -n 1000 -v -p pwd.list 6.2 Burp Suite爆破Webshell 发现Webshell路径 捕获提交数据包 发送到Intruder模块 标记密码字段 加载字典爆破 通过响应判断正确密码 七、phpMyAdmin破解 7.1 单线程工具 使用专用phpMyAdmin暴力破解工具v1.3 7.2 多线程工具 使用支持多线程的phpMyAdmin密码枚举工具 八、WFuzz高级爆破 8.1 WFuzz特点 支持百万级字典 高度可配置 多种过滤选项 8.2 使用示例 参数说明: -c :彩色输出 -z :指定字典 --hc :隐藏特定状态码 -u :目标URL -d :POST数据,FUZZ为占位符 关键总结 字典质量 决定爆破成功率,建议使用针对性字典 线程控制 避免触发防护机制或造成服务拒绝 验证码处理 是Web爆破的主要障碍,需掌握多种绕过技术 协议识别 准确判断服务类型选择合适工具 合法授权 所有测试必须在授权范围内进行 通过组合使用这些工具和技术,可以系统性地测试目标系统的认证强度,发现弱密码漏洞。