为什么这个简单的Hydra命令不起作用,尽管写了完全相同的语法?
Hydra是一个强大的密码破解工具,它可以通过尝试多个用户名和密码组合来暴力破解登录系统。然而,即使使用完全相同的语法,Hydra命令可能无法正常工作的原因有很多。
- 目标系统的防御措施:如果目标系统具有强大的安全防护措施,如防火墙、入侵检测系统(IDS)或入侵防御系统(IPS),它们可能会检测到Hydra的活动并阻止其访问。这些安全措施可以根据多个因素,如IP地址、登录尝试频率等进行配置。
- 账户锁定策略:目标系统可能会实施账户锁定策略,当连续登录尝试失败达到一定次数时,会锁定该账户一段时间。这样的策略可以有效防止暴力破解攻击。如果Hydra尝试的用户名和密码组合错误次数过多,目标系统可能会锁定被攻击的账户,导致Hydra无法继续尝试。
- 输入错误:尽管语法完全相同,但可能存在输入错误,如拼写错误、缺少必要的参数或选项等。这些错误可能导致Hydra命令无法正确解析,从而无法起作用。
- 目标系统的响应时间:Hydra通过发送大量的登录请求来进行暴力破解,如果目标系统的响应时间过长,Hydra可能会认为登录失败,即使实际上密码是正确的。这可能是由于网络延迟、目标系统负载过重或其他原因导致的。
- 目标系统的登录机制:某些系统可能具有自定义的登录机制,如验证码、双因素认证等。这些机制可能会干扰Hydra的正常操作,导致其无法成功破解密码。
综上所述,Hydra命令不起作用的原因可能是目标系统的防御措施、账户锁定策略、输入错误、目标系统的响应时间或登录机制等因素的影响。为了解决这个问题,可以尝试以下方法:
- 检查语法和参数:仔细检查Hydra命令的语法和参数,确保没有输入错误。
- 调整攻击速度:通过调整Hydra的攻击速度,可以减少对目标系统的负载,提高成功率。可以尝试增加或减少每秒尝试的登录次数,以找到最佳的攻击速度。
- 使用代理服务器:使用代理服务器可以隐藏攻击者的真实IP地址,绕过目标系统的IP限制或防火墙。
- 分析目标系统的防御措施:了解目标系统的防御措施,如防火墙、IDS或IPS,可以帮助调整Hydra的攻击策略,以规避这些防御措施。
- 尝试其他工具或方法:如果Hydra无法成功破解密码,可以尝试其他密码破解工具或方法,如社会工程学攻击、字典攻击等。
请注意,密码破解是非法行为,未经授权地使用Hydra或其他密码破解工具攻击他人系统是违法的。以上信息仅供学习和研究目的,请遵守法律法规。
相关·内容
有没有办法将连续失败的登录尝试设置为特定的次数,如3次或4次(对于SQL Server登录)?如果超过此计数,则期望锁定帐户。
浏览 0提问于2010-05-19得票数 2
回答已采纳
我要找的东西需要一个IIS/ASP.NET网站,它使用表单身份验证,并反复尝试登录,无论是使用所有可能的密码还是使用字典中的密码。
我也许可以写一些东西,但我想知道是否有任何公开可用的东西可以更好地实现。
浏览 2提问于2010-06-09得票数 3
6回答
我已经给了一些其他开发人员的代码,他们已经创建了一些登录安全策略。例如,如果您尝试使用数据库中存在的用户名登录,它将开始记录失败的登录尝试次数。然后,在达到3次登录尝试后,它会在日志中添加另一个条目,但会将位1添加到LockedOut。
你们认为这是一个好的安全政策吗?难道不会有人试图进入,只是尝试大量的随机用户名,并强行锁定每个人的帐户?这似乎是一种糟糕的安全哲学。
我认为更好的安全程序是根据IP表锁定任何进行了3次尝试的人,该表跟踪各种用户尝试,并在大约30分钟内过期,以防止DDoS。
你们是如何设计登录安全的?下面是这个开发人员所做的基本工作:
if username is in dat
浏览 2提问于2011-01-18得票数 6
回答已采纳
为了防止对登录系统的暴力破解攻击,您应该允许多少次失败的登录尝试,以及在多长时间内?
什么是“锁定帐户”-简单地不允许他们登录(即使有一个好的密码)?
浏览 0提问于2011-04-18得票数 0
我想制定一项措施,阻止人们试图侵入我网站上的用户帐户。这背后最好的过程是什么,而不会让只需要尝试几个密码就能记住的客户感到烦恼?
我注意到谷歌在几次尝试失败后显示了一张验证码图片。我从来没有足够的努力,但我相信他们一定会在几次尝试后阻止你。
这将是确保某人不会尝试使用暴力方法来访问帐户的最佳实践吗?
验证码?阻止他们的IP地址(如果他们在一个共享的IP上,这是否有效)?
浏览 1提问于2012-05-26得票数 1
回答已采纳
1回答
这里有很多关于密码的安全问题,例如站点X上的帐户的登录密码,但是当攻击者必须猜测密码时,他们如何进入帐户呢?我知道有“蛮力”的方法,但大多数网站会简单地锁定帐户,当有太多的错误尝试。那么如何让黑客进入这个账户呢?
浏览 0提问于2019-08-27得票数 2
回答已采纳
3回答
密码符号、长度和强度
、、、
注意:这与编程没有明确的关系,但我希望这可以从程序员的角度来解释。
关于当前的“密码强度等级”,我有两点是不明白的。这一切都与暴力进入有关。(如果这些“密码强度等级”涉及任何其他类型的入侵,除了使用通用/流行的密码之外,请让我知道)。
1)只要密码系统允许使用数字/符号/大写字母,那么包含数字/符号/大写字母有什么关系?
例如,让我们说:
a)系统接受的字符是a-z、A-Z、0-9,以及它们的“移位值”'!‘设置为')',因此有72个可能的符号。
b)我使用长度为10的密码,因此有72^10种可能性。
c)我的密码不在最常用/最常用的前10,000个密码中。因此,仍然存
浏览 0提问于2013-01-12得票数 3
回答已采纳
谷歌搜索显示,密码破解器可以快速尝试数百万种组合,并且很容易破解许多密码。
我的研究并没有显示他们是否能够在现实世界的攻击中如此迅速地做出如此多的尝试。这些密码破解者实际上是如何与服务器接口的?他们是否以自动化的方式填写表格?当我提交密码IRL时,需要几秒钟的时间才能得到响应。这将把密码破解所需的时间乘以一个很大的因子!这应该提供了大量的保护,以防止这些密码破解!
密码破解者是否在许多机器中分发密码尝试,以便他们可以同时尝试?对于网站服务器来说,这难道不是一种自动攻击吗?是否有更快的方法可以让破解者进行多次尝试(为什么服务器会允许它)?
浏览 6提问于2019-02-17得票数 2
回答已采纳
4回答
阅读让我想知道,这是一个现实世界的问题吗?
假设有人(或某事)想要破解我的FTP登录。破解软件每秒可以发送数百万次猜测,但受到攻击的服务器不可能提供那么多“错误密码”的回复。在哪种情况下,我需要担心暴力强制?
浏览 0提问于2013-05-31得票数 1
回答已采纳
我偶然发现了这篇文章,并得到了一个基本的理解哈希,盐和蛮力攻击。
我的问题是在这篇文章中,作者强调了将散列/咸密码反转到原始密码有多难。但是如果入侵者对数据库有写访问权,他可以
使用pwd "12345678“创建一个新帐户
记录散列"69410532sfb9234234“(只是一个例子)
将pwd的其他帐户改为"69410532sfb9234234“
通过pwd "12345678“从前端以其他账户持有人身份登录
利润
我错过了什么吗?还是写访问数据库几乎是不可能的?最新的steam和psn数据库不会给出任何细节,如果写访问被破坏。
浏览 0提问于2011-11-18得票数 6
回答已采纳
通常,在X次错误尝试Y次之后拒绝登录尝试是防止蛮力尝试或恶意登录尝试的一个非常基本的方法。
但是,如果您允许成功地使用正确的密码登录,那么这样做无疑是毫无意义的。在这种情况下,当尝试不正确的消息时,获得关于超时期间的错误消息或警告消息是没有意义的,如果正确的密码将不受影响地工作。
例如,在Hotmail上,当我试图使用错误的密码登录时,我最终会收到一条消息,表示进一步的登录尝试受到限制。试着用正确的密码让我马上进去。所以,我想知道,首先发出这样的警告是否有意义?它在实际密码授权访问中有效吗?
浏览 0提问于2011-06-08得票数 10
我们正在设计一个安全系统,以防止暴力破解进入帐户。
建议的一个选项是按IP列入黑名单。如果某个IP地址尝试登录的次数过多,则会在给定时间内阻止该IP地址的任何进一步尝试。
另一种选择是进行更传统的帐户锁定,在重置密码之前,对给定帐户进行过多次尝试会锁定该帐户。
第一种方法的问题是客户服务-如果合法用户打电话回来,他们只需等待-他们的IP在一段时间内被列入黑名单。
第二个漏洞的问题是,它开启了一个DoS攻击,只要知道合法的用户名,任何人都可以输入假密码来锁定他们。
您在防止针对用户帐户的暴力破解攻击的不同方法方面有哪些经验?
浏览 1提问于2010-02-05得票数 3
回答已采纳
首先,我说我对加密、散列、破解等不太了解。我只是一个典型的电脑爱好者,程序员和研究员,有很多问题。
所以,我发现有一种叫做“分布式破解”的东西,当许多系统聚集在一起,集中在一起--在单个目标上启动一个布鲁特力处理。
我想,如果目标是计算机上的本地文件,并且有足够的时间和资源,Brute的成功率是100%。如果这个假设是错误的,请纠正我。
本系统中唯一依赖的对象是用于解密加密源文件的软件。蛮力必须通过这个程序来解密内容。
有什么程序可以做的来防御布鲁特的力量吗?该程序是否可以销毁目标加密的源文件,如果随后的登录尝试超过了一些高得离谱的数字,那么可以自毁吗?虽然,这将需要程序保持运行计数有多少次失
浏览 0提问于2014-10-29得票数 1
回答已采纳
2回答
昨天我问了一个关于安全散列的问题,这让我思考如何破解使用自定义散列算法创建的密码。我当前的(非常不安全的)密码脚本对密码使用sha1的迭代,然后对由其生成的散列进行迭代,并预先加上3位数的盐。
$hash = sha1($pass1);
//creates a 3 character sequence
function createSalt()
{
$string = md5(uniqid(rand(), true));
return substr($string, 0, 3);
}
$salt = createSalt();
$hash = sha1($salt . $
浏览 0提问于2011-06-14得票数 2
回答已采纳
2回答
我将在我们的网站上实现一个WCF (基于RESTful数据服务,但这可能无关紧要)。
通过此API提供的所有数据都属于我的服务器的某些用户,因此我需要确保只有这些用户才能访问我的资源。因此,所有请求都必须使用登录/密码组合作为请求的一部分来执行。
在这种情况下,防止暴力破解攻击的推荐方法是什么?
我正在考虑记录由于凭据错误而被拒绝的失败请求,并在超过一定的失败请求阈值后忽略来自同一IP的请求。这是标准方法,还是我遗漏了一些重要的东西?
浏览 7提问于2010-06-03得票数 16
回答已采纳
6回答
我需要你的意见,这是否是一种有效的方法,以防止暴力攻击的用户登录:
如果用户不正确地向帐户输入密码5次,他们将被锁定5分钟。
一旦被锁定,就会向我的数据库中添加一条记录,该数据库保存user_id和用户尝试重新登录该帐户的时间。
在5分钟结束后,当他们下一次尝试登录时,它将检查数据库以查看锁定时间是否已经结束。如果是的话,他们还有5次尝试,如果没有,显示一个错误。
这是反暴力证据吗?
谢谢。
浏览 9提问于2014-10-16得票数 2
2回答
1)应用程序的典型登录屏幕,当尝试次数超过三次时,ID会因密码错误而锁定。
2)由于用户可能在同一台或不同的机器上使用多个浏览器,因此无法将尝试存储在会话中。
3)我不想将计数持久化在数据库中,因为大约24小时后必须重置计数。
做这件事最好的方法是什么?
浏览 1提问于2010-01-30得票数 1
回答已采纳
6回答
在过去的一周里,我的网站一直遭受拒绝服务/黑客攻击。该攻击使用循环中随机生成的无效API密钥攻击我们的web API。
我不确定他们是在尝试猜测密钥(在数学上不可能是64位密钥),还是在尝试DOS攻击服务器。攻击是分布式的,所以我不能禁止所有的IP地址,因为它发生在数百个客户端。
我的猜测是这是一个it的Android应用程序,所以有人在Android应用程序中安装了一些恶意软件,并使用所有安装的软件来攻击我的服务器。
服务器是Tomcat/Java,目前web API仅响应400无效密钥,并缓存多次尝试无效密钥的is,但仍需要对每个错误请求进行一些处理。
有什么建议可以阻止攻击吗?有没有办法
浏览 3提问于2015-09-15得票数 60
1回答
使用辣椒作为索引插入盐
、、、、
在这个板上的这问题中,所选答案的作者声明如下。
如果您作为攻击者,设法从数据库中提取散列和盐类,您可能会找到一种方法来提取该网站的密码散列算法,或者您只需使用一个已知密码创建一个新帐户,为其提取散列和盐分,并强制执行用于编写最终散列- 克洛克的算法。
知道这一点,如果我们硬编码我们的盐的位置,它就像把它放在密码的末尾一样好。
但是,如果我们生成一个限制在密码长度的胡椒,那么我们的盐在这个索引上会更好吗?
服务器将知道密码,所以它只需要执行大约10个或更多的哈希操作,这只需花费毫秒,因此不会对登录时间产生那么大的影响。
浏览 0提问于2020-02-11得票数 -1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
