Il nostro laboratorio all'università riguardava la sicurezza delle password, "hacking" delle pagine web (usando hydra) Quindi usando il comando qui sotto puoi ottenere la password dell'amministratore.
hydra -l root -P /home/ubuntu/rockyou.txt -t 1 192.168.159.130 http-get /whmcs/admin/
La mia domanda è: cosa succede se non conosco questa parte /whmcs/admin/ c'è un comando simliar che può ottenere la password senza questa parte?
192.168.159.130 è l'indirizzo IP del server che si desidera crackare e http-get è il protocollo utilizzato per inviare password, in questo caso autenticazione HTTP semplice e /whmcs/admin/ la directory sul server. I server Web possono avere più siti e configurare utenti e password diversi per loro. Quindi gli account validi su /whmcs/admin/ potrebbero essere diversi da quelli su /phpmyadmin/ o /plesk/ .
Ecco perché devi dire a hydra quale directory esattamente vuoi crackare. Di solito non c'è modo di dire quante directory con protezione individuale della password HTTP sono configurate su un server e quali altre funzionalità ci sono sul server che potrebbero essere chiamate username + password di autenticazione (come i moduli di login).
Di solito non eseguiresti uno strumento come hydra cieco. Dovresti provare percorsi URL e protocolli diversi su un server web finché non ti viene richiesta una password, scoprire quale tecnologia viene utilizzata per implementare la richiesta di password e quindi eseguire hydra su di essa.
Leggi altre domande sui tag hydra