Hydra no Kali Linux

Testando Senhas com Ética e Eficiência

No universo da segurança da informação, testar a robustez de sistemas de autenticação é uma etapa crítica. Uma das ferramentas mais conhecidas para essa finalidade é o Hydra, também chamado de THC-Hydra. Presente no Kali Linux por padrão, o Hydra é usado para realizar ataques de força bruta ou baseados em dicionário contra uma variedade de serviços, como SSH, FTP, HTTP, SMB, Telnet, entre outros.

Mas o que é força bruta? Trata-se de uma técnica onde o sistema tenta inúmeras combinações de senhas e nomes de usuários até encontrar a correta. Quando isso é feito com uma lista pré-definida de palavras — o chamado "dicionário" — o ataque pode ser ainda mais rápido e eficaz.

 

O Hydra é extremamente flexível. Sua sintaxe básica segue o modelo:

hydra -L lista_de_usuarios.txt -P lista_de_senhas.txt alvo protocolo

 

Você também pode usar um usuário ou senha únicos com -l e -p respectivamente. Há suporte para definir a porta do serviço com -s, aumentar a verbosidade com -vV, e controlar o número de threads (execuções simultâneas) com -t.

Por exemplo, se quisermos testar a senha do usuário root via SSH para o IP 192.168.0.10, usando o famoso dicionário rockyou.txt, o comando seria:

 

hydra -l root -P /usr/share/wordlists/rockyou.txt 192.168.0.10 ssh

 

Se quisermos tentar várias combinações de usuários e senhas para um servidor FTP, com os arquivos users.txt e senhas.txt, podemos usar:

 

hydra -L users.txt -P senhas.txt ftp://192.168.0.20

 

Outra aplicação comum é em logins web. Por exemplo, para testar um formulário HTTP, é possível usar uma URL específica e informar os parâmetros POST:

 

hydra -L users.txt -P senhas.txt 192.168.0.30 http-post-form "/login.php:username=^USER^&password=^PASS^:Login inválido"

 

A parte entre aspas representa o caminho da página, os parâmetros do formulário (username e password) e o texto que identifica um login mal-sucedido.

 

Antes de qualquer uso, é fundamental lembrar: Hydra não é uma ferramenta de invasão, mas de auditoria. Seu uso deve ser restrito a ambientes próprios, laboratórios de teste ou com autorização explícita. Atividades não autorizadas configuram crime digital.

Todos os posts

Metadados

OSINT

CVE

Keylogger

Fingerprint

Hash

Evil Twin

RCE

Buffer overflow

Criptografia

Esteganografia

DoS e DDoS

Brute force

Sniffers

Wireshark

Wifite

SQL Injection

XSS

VPN

Phishing

DNS Spoofing

Nmap

Pentest

Google Dorks

Hydra no Kali Linux

Inteligência Artificial

Quero ser programador

Engenharia social

Hackpedia Whitehats

Deep Web

Anonimato

WhiteHats tá falando

Bitcoin

Segurança digital

Novo site WhiteHats no ar!

Notícias recentes

Fisco lança alerta para todos por causa de mensagem fraudulenta

Tim Cook vai deixar liderança da Apple. John Ternus assume o cargo

Anthropic lança o Claude Design: fazer PowerPoints deixou de ser uma seca

Primeiros radares com Inteligência Artificial detetam todo o tipo de infrações, como uso do telemóvel ao volante

Nova Inteligência Artificial consegue compreender palavras que nem sequer são ditas em voz alta

Com temor de aumento de preços, vendas globais de PC crescem no primeiro trimestre

Microsoft quer obrigar a usar o Edge no Windows 11 com a última atualização

Mastodon sofre ataque DDoS em servidor principal, causando instabilidade

Robôs vencem humanos na meia maratona de Pequim

Brasil firma acordo com China para desenvolver Inteligência Artificial no setor público

Operadores unem-se para travar IPTV ilegal, e já não é só no futebol

Linux ganha impulso entre gamers com Proton e Steam Deck

Governo autoriza testes de condução autónoma na via pública em Portugal

Milhares de sites WordPress em perigo após ataque massivo a plugins populares

Apple acelera os planos: iPad Air com ecrã OLED está agora previsto para 2027

É real! Filme de Call of Duty ganha primeiro teaser e data de lançamento na CinemaCon 2026

Gemini ganha app para macOS e entra na corrida da Inteligência Artificial no desktop

Grok quase foi banido da App Store por deepfakes sexuais

Nvidia e Cadence se unem para acelerar o treinamento de robôs com Inteligência Artificial

Microsoft tem mais preocupações de segurança com Windows Recall

Hackers vazam dados da Rockstar após empresa recusar pagamento de resgate

Nissan vai equipar 90% dos seus carros com tecnologia de condução com Inteligência Artificial

Amazon compra Globalstar e acirra disputa com Musk pelo espaço

Chefe do Xbox admite: Game Pass “se tornou muito caro”

Vazamento na Booking.com expõe nova fase das fraudes no turismo

100 metros em 10 segundos: Robô chinês ameaça recorde de Usain Bolt

FBI diz que criptografia não protege totalmente apps de mensagem

Se usa o ChatGPT no macOS, a OpenAI recomenda atualizar a app imediatamente

Lançamento do Linux Kernel 7.0: Novidades e Melhorias Imperdíveis

MacBooks da Apple ficam lentos após 49 dias devido a “bomba-relógio do macOS”

Mozilla acusa Microsoft de forçar a utilização do Copilot no Windows 11

IRPF: Receita alerta para novo golpe com falsas pendências

China avança plano para usar 10 mil robôs humanoides em fronteira

OpenAI acusa Elon Musk de “emboscada jurídica” às vésperas de julgamento bilionário

Robô humanoide assusta idosa e acaba “escoltado” pela polícia

Google quer fundir duas das suas melhores ferramentas: Gemini e NotebookLM

TikTok vai investir 1 bilhão de euros em novo data center na Europa

Estados Unidos alertam bancos sobre riscos de nova Inteligência Artificial da Anthropic

Meta amplia investimento em Inteligência Artificial com contrato de US$ 21 bilhões

Ex-funcionário da Meta acusado de descarregar 30 mil fotos privadas de utilizadores

HackPedia