يتم تعريف كلمة المرور تقنيًا على أنها سلسلة سرية من الأحرف المستخدمة للمصادقة أو الوصول إلى الموارد. يجب الاحتفاظ بها في الخفاء وإخفائها عن الآخرين الذين لا يسمح لهم بالوصول إلى تلك الموارد. تم استخدام كلمات المرور مع أجهزة الكمبيوتر منذ الأيام الأولى للحوسبة. تم تقديم أحد أنظمة المشاركة الأولى في عام 1961. وكان يحتوي على أمر تسجيل الدخول الذي يطلب كلمة مرور المستخدم. بعد كتابة كلمة المرور ، يقوم النظام بإيقاف تشغيل آلية الطباعة ، إن أمكن ، حتى يتمكن المستخدم من كتابة كلمة المرور الخاصة به بخصوصية.
قوة كلمة المرور هي دالة على الطول والتعقيد وعدم القدرة على التنبؤ. يقيس الفعالية في مقاومة التخمين أو كسرها. من ناحية أخرى ، تعمل كلمات المرور الضعيفة على تقصير الوقت اللازم للتخمين والوصول إلى رسائل البريد الإلكتروني الشخصية / للشركات والبيانات الحساسة مثل المعلومات المالية ومعلومات العمل وبطاقات الائتمان وما إلى ذلك.
هناك العديد من الطرق التي يمكن أن تكون بها كلمة المرور ضعيفة وفقًا لقوة أنظمة الهجوم المختلفة. الأكثر شيوعًا من هذا النوع من هجمات الاعتماد هي القوة الغاشمة. إنها طريقة للتجربة والخطأ مثل التخمين ومحاولة فك تشفير البيانات المشفرة مثل كلمة المرور أو تشفير البيانات المستخدم بواسطة برنامج التطبيق أو أداة القرصنة.
Hydra هو أسرع جهاز تكسير لتسجيل الدخول إلى الشبكة والذي يدعم العديد من بروتوكولات الهجوم. إنه سريع ومرن للغاية ، ومن السهل إضافة وحدات جديدة. تتيح هذه الأداة للباحثين ومستشاري الأمن إظهار مدى سهولة الوصول غير المصرح به إلى النظام عن بُعد. كتب هيدرا فان هاوزر ودعمه أيضًا ديفيد ماسيجاك. في آخر تحديث ، تم نقل تطوير hydra إلى مستودع Github العام على: https://github.com/vanhauser-thc/thc-hydra.
تم اختبار Hydra للتجميع على Linux و Windows / Cygwin و Solaris 11 و FreeBSD 8.1 و OpenBSD و OSX و QNX / Blackberry ، وهو متاح بموجب GPLv3 مع توسيع ترخيص OpenSSL خاص.
يدعم THC Hydra هذه البروتوكولات: Cisco AAA و Cisco auth و Cisco enable و CVS و FTP و HTTP (S) -FORM-GET و HTTP (S) -FORM-POST و HTTP (S) -GET و HTTP (S) -HEAD و HTTP-Proxy و ICQ و IMAP و IRC و LDAP و MS-SQL و MySQL و NNTP و Oracle Listener و Oracle SID و PC-Anywhere و PC-NFS و POP3 و PostgreSQL و RDP و Rexec و Rlogin و Rsh و SIP و SMB (NT) و SMTP و SMTP Enum و SNMP v1 + v2 + v3 و SOCKS5 و SSH (v1 و v2) و SSHKEY و Subversion و Teamspeak (TS2) و Telnet و VMware-Auth و VNC و XMPP.
مقارنة HYDRA بأدوات التكسير الأخرى
هناك أيضًا الكثير من أدوات تكسير تسجيل الدخول بجانب hydra ، ولكن لا يدعم أي منها قائمة ضخمة من البروتوكولات ودعم تكسير تسجيل الدخول المتوازي مثل hydra. توضح الجداول أدناه نتيجة الميزات والخدمات ومقارنة السرعة مع medusa و ncrack.
سمات
| ميزة | العدار | قناديل البحر | نكراك |
| رخصة | AGPLv3 | GPLv2 | شروط GPLv2 + Nmap |
| دعم IPv6 | نعم | لا | لا |
| واجهة المستخدم الرسومية | نعم | نعم | لا |
| الدعم الدولي (RFC 4013) | نعم | لا | لا |
| دعم وكيل HTTP | نعم | نعم | لا |
| دعم بروكسي SOCKS | نعم | لا | لا |
| البروتوكولات المدعومة | 51 | 22 | 7 |
خدمات
| خدمة | تفاصيل | العدار | قناديل البحر | نكراك |
| آدم -6500 | نعم | لا | لا | |
| وكالة فرانس برس | نعم | نعم | لا | |
| النجمة | نعم | لا | لا | |
| كلمة مرور سيسكو | نعم | لا | لا | |
| تمكين سيسكو | نعم | لا | لا | |
| CVS | نعم | نعم | لا | |
| فايربيرد | نعم | لا | لا | |
| بروتوكول نقل الملفات | نعم | نعم | نعم | |
| دعم SSL | AUTH TLS & FTP عبر SSL | AUTH TLS & FTP عبر SSL | لا | |
| HTTP | أساليب) | احصل ، رأس ، أرسل | احصل على | احصل على |
| المصادقة الأساسية | نعم | نعم | نعم | |
| نموذج HTTP | أساليب) | احصل عليه ، أرسل | احصل عليه ، أرسل | لا |
| دعم SSL | HTTPS | HTTPS | لا | |
| الموقع الوكيل | المصادقة الأساسية | نعم | لا | لا |
| DIGEST-MD5 Auth | نعم | لا | لا | |
| مصادقة NTLM | نعم | لا | لا | |
| دعم SSL | HTTPS | لا | لا | |
| تعداد عنوان URL الخاص بـ HTTP | نعم | لا | لا | |
| ICQ | الإصدار 5 | نعم 1 | لا | لا |
| IMAP | دعم تسجيل الدخول | نعم | نعم | لا |
| دعم AUTH LOGIN | نعم | لا | لا | |
| دعم AUTH PLAIN | نعم | نعم | لا | |
| دعم AUTH CRAM-MD5 | نعم | لا | لا | |
| دعم AUTH CRAM-SHA1 | نعم | لا | لا | |
| دعم AUTH CRAM-SHA256 | نعم | لا | لا | |
| دعم AUTH DIGEST-MD5 | نعم | لا | لا | |
| دعم AUTH NTLM | نعم | نعم | لا | |
| دعم AUTH SCRAM-SHA1 | نعم | لا | لا | |
| دعم SSL | IMAPS و STARTTLS | IMAPS و STARTTLS | لا | |
| IRC | كلمة مرور الخادم العامة | نعم | لا | لا |
| كلمة مرور وضع OPER | نعم | لا | لا | |
| LDAP | v2 ، دعم بسيط | نعم | لا | لا |
| v3 ، دعم بسيط | نعم | لا | لا | |
| v3 ، دعم AUTH CRAM-MD5 | نعم | لا | لا | |
| دعم AUTH DIGEST-MD5 | نعم | |||
| دعم AUTH NTLM | نعم | نعم | ||
| دعم AUTH SCRAM-SHA1 | نعم | |||
| دعم SSL | IMAPS و STARTTLS | IMAPS و STARTTLS | ||
| IRC | كلمة مرور الخادم العامة | نعم | ||
| كلمة مرور وضع OPER | نعم | |||
| LDAP | v2 ، دعم بسيط | نعم | ||
| v3 ، دعم بسيط | نعم | |||
| v3 ، دعم AUTH CRAM-MD5 | نعم | |||
| v3 ، دعم AUTH DIGEST-MD5 | نعم | |||
| MS-SQL | نعم | نعم | ||
| MySQL | الإصدار 3.x | نعم | نعم | |
| الإصدار 4.x | نعم | نعم | ||
| الإصدار 5.x | نعم | نعم | ||
| NCP | نعم | نعم | ||
| NNTP | دعم المستخدم | نعم | نعم | |
| دعم AUTH LOGIN | نعم | |||
| دعم AUTH PLAIN | نعم | |||
| دعم AUTH CRAM-MD5 | نعم | |||
| دعم AUTH DIGEST-MD5 | نعم | |||
| دعم AUTH NTLM | نعم | |||
| دعم SSL | STARTTLS و NNTP عبر SSL | |||
| وحي | قاعدة البيانات | نعم | نعم | |
| مستمع TNS | نعم | |||
| تعداد SID | نعم | |||
| PC-NFS | نعم | |||
| pcAnywhere | المصادقة الأصلية | نعم | نعم | |
| المصادقة المستندة إلى نظام التشغيل (MS) | نعم | |||
| POP3 | دعم المستخدم | نعم | نعم | نعم |
| دعم APOP | نعم | |||
| دعم AUTH LOGIN | نعم | نعم | ||
| دعم AUTH PLAIN | نعم | نعم | ||
| دعم AUTH CRAM-MD5 | نعم | |||
| دعم AUTH CRAM-SHA1 | نعم | |||
| دعم AUTH CRAM-SHA256 | نعم | |||
| دعم AUTH DIGEST-MD5 | نعم | |||
| دعم AUTH NTLM | نعم | نعم | ||
| دعم SSL | POP3S و STARTTLS | POP3S و STARTTLS | POP3S | |
| PostgreSQL | نعم | نعم | ||
| النجمة | نعم | |||
| RDP | محطة عمل ويندوز | نعم | نعم | نعم |
| مشغل برامج وندوز | نعم | نعم | ||
| مصادقة المجال | نعم | نعم | ||
| ريديس | نعم | لا | ||
| ريكسيك | نعم | نعم | ||
| تسجيل الدخول | نعم | نعم | ||
| RPCAP | نعم | لا | ||
| RSH | نعم | نعم | ||
| RTSP | نعم | لا | ||
| SAP R / 3 | نعم | |||
| Siemens S7-300 | نعم | |||
| رشفة | نعم | |||
| دعم SSL | SIP عبر SSL | |||
| SMB | وضع NetBIOS | نعم | نعم | لا |
| الوضع الأصلي W2K | نعم | نعم | نعم | |
| وضع الهاش | نعم | نعم | لا | |
| مسح مصادقة النص | نعم | نعم | ||
| LMv1 Auth | نعم | نعم | نعم | |
| LMv2 Auth | نعم | نعم | نعم | |
| NTLMv1 Auth | نعم | نعم | نعم | |
| NTLMv2 Auth | نعم | نعم | نعم | |
| SMTP | دعم AUTH LOGIN | نعم | نعم | |
| دعم AUTH PLAIN | نعم | نعم | ||
| دعم AUTH CRAM-MD5 | نعم | |||
| دعم AUTH DIGEST-MD5 | نعم | |||
| دعم AUTH NTLM | نعم | نعم | ||
| دعم SSL | SMTPS و STARTTLS | SMTPS و STARTTLS | ||
| تعداد مستخدم SMTP | VRFY كمد | نعم | نعم | |
| EXPN كمد | نعم | نعم | ||
| RCPT إلى كمد | نعم | نعم | ||
| SNMP | الإصدار 1 | نعم | نعم | |
| v2c | نعم | نعم | ||
| v3 | (مصادقة MD5 / SHA1 فقط) | |||
| جوارب | الإصدار 5 ، مصادقة كلمة المرور | نعم | ||
| SSH | الإصدار 1 | نعم | ||
| الإصدار 2 | نعم | نعم | نعم | |
| مفاتيح SSH | الإصدار 1 ، الإصدار 2 | نعم | ||
| التخريب (SVN) | نعم | نعم | ||
| TeamSpeak | TS2 | نعم | ||
| Telnet | نعم | نعم | نعم | |
| XMPP | دعم AUTH LOGIN | نعم | ||
| دعم AUTH PLAIN | نعم | |||
| دعم AUTH CRAM-MD5 | نعم | |||
| دعم AUTH DIGEST-MD5 | نعم | |||
| دعم AUTH SCRAM-SHA1 | نعم | |||
| برنامج VMware Auth Daemon | الإصدار 1.0 / v1.10 | نعم | نعم | |
| دعم SSL | نعم | نعم | ||
| VNC | RFB 3.x دعم كلمة المرور | نعم | نعم | |
| RFB 3.x المستخدم + دعم كلمة المرور | (UltraVNC فقط) | |||
| RFB 4.x دعم كلمة المرور | نعم | نعم | ||
| RFB 4.x المستخدم + دعم كلمة المرور | (UltraVNC فقط) |
مقارنة السرعة
| السرعة (في) | العدار | قناديل البحر | نكراك |
| 1 وحدة مهمة / FTP | 11.93 | 12.97 | 18.01 |
| 4 مهام / وحدة FTP | 4.20 | 5.24 | 9.01 |
| 16 مهام / وحدة FTP | 2.44 | 2.71 | 12.01 |
| 1 وحدة مهمة / SSH v2 | 32.56 | 33.84 | 45.02 |
| 4 مهام / وحدة SSH v2 | 10.95 | مكسور | مفتقد |
| 16 مهمة / وحدة SSH v2 | 5.14 | مكسور | مفتقد |
كانت تلك مقدمة موجزة بسيطة عن هيدرا. الآن دعنا ننتقل إلى التثبيت.
تركيب HYDRA
تم تثبيت Hydra مسبقًا على kali linux ، ولكن إذا كان لديك نظام تشغيل مختلف ، فيمكنك تجميعه وتثبيته على نظامك. حاليًا ، دعم هيدرا على منصات مختلفة:
- جميع منصات UNIX (Linux ، * bsd ، Solaris ، إلخ.)
- MacOS (أساسًا استنساخ BSD)
- Windows مع Cygwin (كلاهما IPv4 و IPv6)
- أنظمة الهاتف المحمول القائمة على Linux أو MacOS أو QNX (مثل Android و iPhone و Blackberry 10 و Zaurus و iPaq)
لتنزيل وتهيئة وتجميع وتثبيت hydra ، فقط اكتب في Terminal:
git clone https://github.com/vanhauser-thc/thc-hydra.git cd thc-hydra ./configure make make install
إذا كان لديك Ubuntu / Debian ، فستحتاج إلى بعض مكتبات التبعية:
apt install libssl-dev libssh-dev libidn11-dev libpcre3-dev libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev firebird-dev libncp-dev
إذا لم تتمكن من العثور على هذه المكتبات في المستودع الخاص بك ، فأنت بحاجة إلى تنزيلها وتثبيتها يدويًا.
كيف تستعمل HYDRA
تهانينا ، لقد نجحت الآن في تثبيت hydra على نظامك. في الواقع ، يأتي Hydra مع نكهتين ، GUI-gtk وإصدار CLI المفضل لدي. وبالإضافة إلى ذلك ، تمتلك Hydra أيضًا نسخة موجهة CLI ، تسمى Hydra-wizard. سيتم إرشادك خطوة بخطوة بدلاً من كتابة جميع الأوامر أو الوسائط يدويًا في الجهاز. لتشغيل hydra ، من نوع الجهاز الخاص بك:
بالنسبة إلى CLI:
hydra
لمعالج CLI:
hydra-wizard
بالنسبة إلى واجهة المستخدم الرسومية:
xhydra
بعد كتابة 'hydra' ، سيتم عرض أوامر المساعدة مثل هذا:
[email protected] :~# hydra -h Hydra v8.6 (c)2017 by van Hauser/THC & David Maciejak - for legal purposes only Syntax: hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e nsr] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-W TIME] [-f] [-s PORT] [-x MIN:MAX:CHARSET] [-SuvV46] [service://server[:PORT][/OPT]] Options: -R restore a previous aborted/crashed session -S perform an SSL connect -s PORT if the service is on a different default port, define it here -l LOGIN or -L FILE login with LOGIN name, or load several logins from FILE -p PASS or -P FILE try password PASS, or load several passwords from FILE -x MIN:MAX:CHARSET password bruteforce generation, type '-x -h' to get help -e nsr try 'n' null password, 's' login as pass and/or 'r' reversed login -u loop around users, not passwords (effective! implied with -x) -C FILE colon separated 'login:pass' format, instead of -L/-P options -M FILE list of servers to be attacked in parallel, one entry per line -o FILE write found login/password pairs to FILE instead of stdout -f / -F exit when a login/pass pair is found (-M: -f per host, -F global) -t TASKS run TASKS number of connects in parallel (per host, default: 16) -w / -W TIME waittime for responses (32s) / between connects per thread -4 / -6 prefer IPv4 (default) or IPv6 addresses -v / -V / -d verbose mode / show login+pass for each attempt / debug mode -U service module usage details server the target server (use either this OR the -M option) service the service to crack (see below for supported protocols) OPT some service modules support additional input (-U for module help) Supported services: asterisk afp cisco cisco-enable cvs firebird ftp ftps http[s]-head http[s]-post-form http-proxy http-proxy-urlenum icq imap[s] irc ldap2[s] ldap3[-crammd5][s] mssql mysql ncp nntp oracle-listener oracle-sid pcanywhere pcnfs pop3[s] postgres rdp rexec rlogin rsh s7-300 sip smb smtp[s] smtp-enum snmp socks5 ssh sshkey svn teamspeak telnet[s] vmauthd vnc xmpp Hydra is a tool to guess/crack valid login/password pairs - usage only allowed for legal purposes. This tool is licensed under AGPL v3.0. The newest version is always available at http://www.thc.org/thc-hydra These services were not compiled in: sapr3 oracle. Use HYDRA_PROXY_HTTP or HYDRA_PROXY - and if needed HYDRA_PROXY_AUTH - environment for a proxy setup. E.g.: % export HYDRA_PROXY=socks5://127.0.0.1:9150 (or socks4:// or connect://) % export HYDRA_PROXY_HTTP=http://proxy:8080 % export HYDRA_PROXY_AUTH=user:pass Examples: hydra -l user -P passlist.txt ftp://192.168.0.1 hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN hydra -C defaults.txt -6 pop3s://[fe80::2c:31ff:fe12:ac11]:143/TLS:DIGEST-MD5 hydra -l admin -p password ftp://[192.168.0.0/24]/ hydra -L logins.txt -P pws.txt -M targets.txt ssh
تسجيل الدخول المستند إلى الويب لـ Bruteforce باستخدام Hydra
تدعم Hydra بعض الخدمات الوحشية كما ذكرت سابقًا ، يتم استخدام أحدها لفرض عمليات تسجيل الدخول المستندة إلى الويب مثل ، نموذج تسجيل الدخول إلى الوسائط الاجتماعية ، نموذج تسجيل الدخول المصرفي للمستخدم ، تسجيل الدخول المستند إلى الويب الخاص بالموجه ، وما إلى ذلك. http [s] -get-form والتي ستتعامل مع هذا الطلب. سأوضح لك في هذا البرنامج التعليمي كيفية فرض عمليات تسجيل دخول ضعيفة إلى الويب. قبل أن نطلق الهيدرا ، يجب أن نعرف بعض الحجج اللازمة مثل أدناه:
- استهداف : http://testasp.vulnweb.com/Login.asp؟RetURL=٪2FDefault٪2Easp٪3F
- ادخل اسم المستخدم : مشرف (إذا لم تكن متأكدًا ، فاستخدم القوة الوحشية)
- قائمة كلمات المرور : موقع قائمة ملفات القاموس التي تحتوي على كلمات المرور الممكنة.
- معلمات النموذج : بشكل عام ، استخدم بيانات التلاعب أو الوكيل للحصول على نموذج معلمات الطلب. ولكن هنا أنا أستخدم iceweasel ، فايرفوكس ، شريط أدوات مطور الشبكة.
- وحدة الخدمة : http-post-form
Help for module http-post-form: ============================================================================ Module http-post-form requires the page and the parameters for the web form. By default this module is configured to follow a maximum of 5 redirections in a row. It always gathers a new cookie from the same URL without variables The parameters take three ':' separated values, plus optional values. (Note: if you need a colon in the option string as value, escape it with ':', but do not escape a '' with '\'.) Syntax: [url]:[form parameters]:[condition string][:(optional)[:(optional)] First is the page on the server to GET or POST to (URL). Second is the POST/GET variables (taken from either the browser, proxy, etc. with usernames and passwords being replaced in the '^USER^' and '^PASS^' placeholders (FORM PARAMETERS) Third is the string that it checks for an *invalid* login (by default) Invalid condition login check can be preceded by 'F=', successful condition login check must be preceded by 'S='. This is where most people get it wrong. You have to check the webapp what a failed string looks like and put it in this parameter! The following parameters are optional: C=/page/uri to define a different page to gather initial cookies from (h|H)=My-Hdr: foo to send a user defined HTTP header with each request ^USER^ and ^PASS^ can also be put into these headers! Note: 'h' will add the user-defined header at the end regardless it's already being sent by Hydra or not. 'H' will replace the value of that header if it exists, by the one supplied by the user, or add the header at the end Note that if you are going to put colons (:) in your headers you should escape them with a backslash (). All colons that are not option separators should be escaped (see the examples above and below). You can specify a header without escaping the colons, but that way you will not be able to put colons in the header value itself, as they will be interpreted by hydra as option separators.
الحصول على معلمات النشر باستخدام المتصفح ، iceweasel / Firefox
في متصفح Firefox ، اضغط على المفاتيح ' CTRL + SHIFT + Q '. ثم افتح صفحة تسجيل الدخول إلى الويبhttp://testasp.vulnweb.com/Login.asp؟RetURL=٪2FDefault٪2Easp٪3F، ستلاحظ ظهور بعض النصوص في علامة تبويب مطور الشبكة. يخبرك ما هي الملفات التي يتم نقلها إلينا. انظر إلى الطريقة كلها GET ، نظرًا لأننا لم ننشر أي بيانات حتى الآن.
للحصول على معلمات ما بعد النموذج ، اكتب أي شيء في نموذج اسم المستخدم و / أو كلمة المرور. ستلاحظ طريقة POST جديدة في علامة تبويب مطور الشبكة. انقر نقرًا مزدوجًا فوق هذا الخط ، في علامة التبويب 'الرؤوس' ، انقر فوق الزر 'تحرير وإعادة الإرسال' على الجانب الأيمن. في نص الطلب ، انسخ السطر الأخير ، مثل tfUName = asu & tfUPass = raimu . ال tfUName و tfUPass هي المعلمات التي نحتاجها. كما هو موضح أدناه:
يحتوي Kali linux على مجموعة من قوائم الكلمات ، اختر قائمة الكلمات المناسبة أو استخدم فقط rockyou.txt في المكان / usr / share / wordlists / كما هو موضح أدناه:
حسنًا ، لدينا الآن كل الحجج التي نحتاجها ومستعدون لإثارة هيدرا. هذا هو نمط الأوامر:
hydra -l -P [/code] Finally, based on information we have gathered, our commands ahould look something like this: hydra -l admin -P /usr/share/wordlists/rockyou.txt testasp.vulnweb.com http-post-form '/Login.asp?RetURL=%2FDefault%2Easp%3F:tfUName=^USER^&tfUPass=^PASS^:S=logout' -vV -f
دعونا نكسر الأوامر:
- ال : هي كلمة تحتوي على حساب اسم المستخدم ، استخدم -L للإشارة إلى قائمة اسم المستخدم المحتمل في ملف.
- ص : عبارة عن قائمة ملفات بكلمة مرور محتملة ، استخدم -p لاستخدام كلمة مرور واحدة بدلاً من تخمينها.
- testapp.vunlwebapp.com : هو اسم مضيف أو هدف
- http- post-form : هي وحدة الخدمة التي نستخدمها
- /Login.asp؟RetURL=٪2FDefault٪2Easp٪3F:tfUName=1999USER = المعلمات الثلاثة المطلوبة ، الصيغة هي:
{page URL}: {Request post body form parameters}: S = {ابحث عن أي شيء في الصفحة بعد تسجيل الدخول بنجاح} - الخامس = الوضع المطول
- الخامس = إظهار تسجيل الدخول: تمرير لكل محاولة
- F = إنهاء البرنامج إذا تم العثور على تسجيل دخول الزوج: كلمة المرور
الآن دعنا ندع hydra يحاول كسر كلمة المرور بالنسبة لنا ، فهو يحتاج إلى وقت لأنه هجوم على القاموس. بمجرد نجاحك في العثور على زوج من تسجيل الدخول: ستنهي كلمة المرور hydra على الفور الوظيفة وتظهر بيانات الاعتماد الصالحة.
هناك الكثير الذي يمكن أن تفعله hydra ، نظرًا لأننا في هذا البرنامج التعليمي تعلمنا للتو كيفية استخدام أسلوب bruteforce لتسجيل الدخول المستند إلى الويب باستخدام hydra ، فنحن نتعلم بروتوكولًا واحدًا فقط ، وهو بروتوكول http-post-form. يمكننا أيضًا استخدام hydra ضد بروتوكول آخر مثل ssh و ftp و telnet و VNC و proxy وما إلى ذلك.