[ مُجاب ] Hydra

[Mahmud963Mahmud963 is verified member.]

ان أردت استخدام Hydra في القسم الأخير، لا أعرف كيف أستخدمه ومثال على ذلك:

https-form-post://www.instagram.com/accounts/login/:username=^USER^&password=^PASS^:F=incorrect

أريد أن أتعلم كيف أكتب هذا القسم، سواء على إنستغرام أو أي موقع آخر.

إذا كنت تعرف مقالًا أو فيديو يشرح هذا القسم، سيكون ذلك مفيدًا.

أعرف أن هناك شيئًا ناقص لدي حتى أتمكن من استخدام هذه الأداة، لكن لا أعرف ما هو.

وأيضًا، هل كثرة محاولات تسجيل الدخول ستؤدي إلى حظري من الموقع بسبب هذه المحاولات؟

 

[أبو البراءأبو البراء is verified member.]

ان أردت استخدام Hydra في القسم الأخير، لا أعرف كيف أستخدمه ومثال على ذلك:

بالنسبة لهذا الجزء سأقوم بعمل شرح للأداة بالتفصيل خصيصا لك بإذن الله
بالنسبة للأمر المذكور سأشرح مثال عليه باختصار

hydra -l admin -P /path/to/password_list.txt example.com http-post-form "/login:username=^USER^&password=^PASS^:F=Login failed"

في هذا الأمر كتبنا اسم الأداة أولا hydra
ثم l- ومن ثم اسم المستخدم الذي نستهدفه
ثم P من اجل مسار لستة الباسسوردات
ثم وضعنا رابط الموقع
ثم وضعنا http-post-form كدلالة على أننا نهاجم Form لتسجيل الدخول
ثم أكملنا بعد ذلك باقي رابط تسجيل الدخول المتمثل في /login
طبعا قد يتغير بتغير الموقع وبرمجة الموقع فقد تجد مثلا login.php/ او غيرها من الأشكال
أما باقي الأمر فستعرفه باستخدام أداة ال burp حيث المتغير الذي يدعى username سيظهر في الركوست الذي قمت بإرساله مما يعني أنك ستحتاج أن تحصل على الركوست أولا حتى تأخذ منه المتغيرات فقد تجدل بدلا من username شيء اخر كـemail مثلا، ونفس الشيء ينطبق على الباسسورد
أما المتغير الذي يدعى F فهذا رسالة الخطأ في حال كانت كلمة المرور غير صحيحة وهذه ستعرفها بطريقتين، الأولى عن طريق عمل capture للـ response الذي ستحصل عليه بعد ال request إذا وبالتالي ستجد رسالة الخطأ سواء كانت login failed او wrong password أو أيا كان
الطريقة الثانية تكون بتجربة creds غير صحيحة وملاحظة رسالة الخطأ التي ستظهر لك دون استخدام burp
هذا أمر بسيط وشرح سريع
بالنسبة لكثرة محاولات تسجيل الدخول فنعم غالبا سيسلم عليك البلوك المحترم من السيرفر ولكن لا تقلق
تابع قسم الهجوم في المنتدى وسأقوم بإرفاق شرح للأداة بالتفصيل مع بعض التكنيكات المستخدمة لتخطي الحمايات بإذن الله
ولا تشعر بالحرج من السؤال أو طلب شرح لأداة معينة، لن نقصر معك بإذن الله

 

[Mahmud963Mahmud963 is verified member.]

بالنسبة لهذا الجزء سأقوم بعمل شرح للأداة بالتفصيل خصيصا لك بإذن الله
بالنسبة للأمر المذكور سأشرح مثال عليه باختصار

hydra -l admin -P /path/to/password_list.txt example.com http-post-form "/login:username=^USER^&password=^PASS^:F=Login failed"

في هذا الأمر كتبنا اسم الأداة أولا hydra
ثم l- ومن ثم اسم المستخدم الذي نستهدفه
ثم P من اجل مسار لستة الباسسوردات
ثم وضعنا رابط الموقع
ثم وضعنا http-post-form كدلالة على أننا نهاجم Form لتسجيل الدخول
ثم أكملنا بعد ذلك باقي رابط تسجيل الدخول المتمثل في /login
طبعا قد يتغير بتغير الموقع وبرمجة الموقع فقد تجد مثلا login.php/ او غيرها من الأشكال
أما باقي الأمر فستعرفه باستخدام أداة ال burp حيث المتغير الذي يدعى username سيظهر في الركوست الذي قمت بإرساله مما يعني أنك ستحتاج أن تحصل على الركوست أولا حتى تأخذ منه المتغيرات فقد تجدل بدلا من username شيء اخر كـemail مثلا، ونفس الشيء ينطبق على الباسسورد
أما المتغير الذي يدعى F فهذا رسالة الخطأ في حال كانت كلمة المرور غير صحيحة وهذه ستعرفها بطريقتين، الأولى عن طريق عمل capture للـ response الذي ستحصل عليه بعد ال request إذا وبالتالي ستجد رسالة الخطأ سواء كانت login failed او wrong password أو أيا كان
الطريقة الثانية تكون بتجربة creds غير صحيحة وملاحظة رسالة الخطأ التي ستظهر لك دون استخدام burp
هذا أمر بسيط وشرح سريع
بالنسبة لكثرة محاولات تسجيل الدخول فنعم غالبا سيسلم عليك البلوك المحترم من السيرفر ولكن لا تقلق
تابع قسم الهجوم في المنتدى وسأقوم بإرفاق شرح للأداة بالتفصيل مع بعض التكنيكات المستخدمة لتخطي الحمايات بإذن الله
ولا تشعر بالحرج من السؤال أو طلب شرح لأداة معينة، لن نقصر معك بإذن الله

بارك الله فيك أخي و بكل شخص موجود في هي الشبكة