Как восстановить пароль на hydra на торе

Обновлено: 06.07.2024

Описание браузера

Сам браузер был создан на базе Firefox. Однако, благодаря дополнениям в коде принцип работы этого браузера был изменен, чтобы добиться большей безопасности для пользователя, учитывая, что многие сайты и источники стали блокироваться для пользователей разных стран. Используя Tor, пользователь может посещать любые сайты в постоянном режиме инкогнито, который будет скрывать IP адрес даже для СОРМ.

Возможности

Технология TOP появилась очень давно, однако, длительное время она не была применена должным образом. Более того, эта система была разработкой для военных, что ни странно, однако, спустя огромное количество времени она перекочевала и к простым пользователям. Огромное количество IT профессионалов доказывало, что это приложение заслуживает доверия, так что скачивать тор браузер можно без опасений.

Приемуществом Тора является то, что с его помощью вы можете посетить любой веб сайт анонимно, не оставив никаких следов того, что вы посещали запрещенные страницы. В ТОР-браузере для передачи данных используется три произвольные ноды, которые обмениваются шифрованной информацией, позволяющей пользователю посещать сайты безопасно. Особенность заключается в том, что отследить эти скрытые узлы невозможно, так как они практически всегда в разных странах.

Будет логичней объяснить на примере, как работает эта схема. Пользователь подает запрос на доступ к тому или иному сайту, и в этот момент браузер отправляет шифрованный пакет первому узлу, в котором хранится зашифрованный адрес следующего узла. Так как первый, изначальный узел, знает тот самый зашифрованный ключ, он спокойно перенаправляет пакет от браузера к следующему узлу. Далее происходит аналогичная процедура и с третьим узлом, благодаря чему отследить или понять на какой странице был пользователь, попросту нельзя. Благодаря чему никто не сможет выяснить, какие именно сайты вы посетили, причем, даже ваш собственный интернет-провайдер не сможет выяснить это.

Как использовать Tor

Многие задаются вопросом о том, как же пользоваться таким сложным браузером, ведь такая сложная схема должна настраиваться настоящими профессионалами. Во время первого запуска браузер сам уточнит несколько простых данных и самостоятельно настроит соединение так, чтобы ваша история посещений осталась в целости и сохранности. Вам всего лишь остается выбирать те пункты, которые больше всего подходят под вашу ситуацию. После установки всех настроек, пользователь сможет увидеть простой интерфейс браузера, который очень сильно похож на всем известный Mozilla Firefox. После этих манипуляций, пользование браузером станет максимально простым.

Как установить русский язык?

При желании, вы можете скачать tor browser на русском языке с официального сайта, так что проблем с иностранной версией у вас точно не будет. Русификация проведена максимально качественно, поэтому во время установки самого браузера у вас не возникнет трудностей с тем, чтобы понять, чего конкретно хочет от вас программа установки.

Безопасность в сети

Безопасности в интернете добиться можно, так как в последнее время появилось огромное количество разнообразных программ, цель которых обеспечить вам полную скрытность. Благодаря тор браузер для Windows шифрование путей и истории вашего браузера будет максимально надежным.

Настройки безопасности

После инсталяции браузера, многие сомневаются, какие пункты выбирать, чтобы настроить это сложное приложение правильно. Первое окно, которое требует вашей настройки – это выбор между автоматическим соединением и ручной настройкой.

Мы рекомендуем выбирать первый вариант, так как ручной более сложен в настройке, а автоматическая настройка работает не хуже, чем ручная установка бесплатных прокси серверов и подключение мостов. Далее вам не предстоит выбирать ничего самостоятельно, так как последние версии браузера тор великолепно самостоятельно настраивают параметры по умолчанию.

Далее вам нужно знать, что расширение браузера NoScript обязательно должно быть включено во время приватной работы в Tor. Несмотря на то, что ручная настройка этого дополнения может быть сложной задачей для многих, во время установки Tor, расширение настраивается автоматически.

Как видите, настройки безопасности, как и другие настройки, не требует от вас особых навыков или знаний, но помните, что только последняя версия Tor браузера самостоятельно установит все нужные дополнения автоматически.

Onion ссылка и как ее открыть

The Onion Router – это сокращение, которой и является наш браузер, а сети Онион – это псевдо-домен, чья задача заключается в том, чтобы обеспечивать доступ самому браузеру к различным скрытым сетям, которые используются во время шифрования путей. По сути, этими сетями пользуются только другие Тор браузеры, и Onion – это удобная возможность безпрепятственно передавать маршрут от адреса к адресу. Доменные имена онион генерируются очень просто, используя для этого публичные ключи. Если обобщить всё вышесказанное, то можно утверждать, что Onion-сети, которые являются основой сети, обеспечивают доступ к скрытым серверам Tor браузеров по всему миру.

Преимущества

Преимуществами браузера является полнейшая анонимность. Любые действия останутся в тени, так что пользователь может свободно «гулять» по интернету, не опасаясь того, что провайдер будет следить за действиями. Заблокированные для региона сайты без проблем будут запускаться и корректно работать на Tor Browser. Тору браузер скачать бесплатно на русском можно с официального сайта, так что пользователю не нужно будет искать его по форумам в поисках правильных настроек.

Недостатки

К большому сожалению, скорость сети отличается от большинства других браузеров. Это объясняется тем, что количество шифрованных соединений с адреса на адрес слишком велико. Поэтому скорость соединения заставляет желать лучшего.

Большой минус – невозможность использования своей почты или личных данных, по которым вас можно было бы отследить, ибо тогда вся суть работы браузера просто теряется. Вам нужно будет внимательно следить за тем, какие обновления вы устанавливаете на Тор, а также не обновлять программу, чтобы она работала корректно. Однако, те преимущества, которые есть у Тора, куда более весомые, чем мелкие недостатки, благодаря чему популярность программы растет с быстрой скоростью.

Системные требования

По сути, всё что нужно для того, чтобы скачать тор клиент – это 120 мегабайт памяти на винчестере, а остальное и так имеется на любом компьютере. 256 МБ оперативной памяти, а также минимум Windows XP, так что скачать браузер тор на компьютер сможет любой пользователь.

Заключение

В заключении можно утверждать, что Tor – это полезная вещь, которая должна быть на каждом устройстве. Изредка всё-таки можно попасть на те сайты, которые требуют обход блокировки, и именно в такой ситуации на помощь придет Tor. Очень полезная вещь, уникальная и качественная, учитывая, как много информации в сети сейчас блокируется. Настоятельно рекомендуем скачать тор браузер бесплатно на русском по ссылке.

Восстановление пароля проводится в 3 шага. На первом шаге абонент вводит номер телефона, в Гидре происходит поиск абонента по номеру телефона. Если абонент найден, то система переходит ко второму шагу. На втором шаге абоненту отправляется случайный код, например, через СМС. На третьем шаге абонент вводит полученный код, затем вводит новый пароль. После процедуры восстановления пароля необходимо залогиниться в ЛК с новым паролем.

enabled — признак активности восстановления пароля. Может принимать значения true/false;

cache.expiration — время в минутах в течение которого хранятся данные для восстановления пароля (количество запрошенных кодов подтверждения, текущий код подтверждения);

phone_prefix — префикс телефонного номера, который отображается на форме ввода номера и добавляется в начало номера телефона для поиска в Гидре и скрипт по отправке СМС;

recovery_code_length — количество цифр в коде подтверждения;

script_path — путь к скрипту для отправки СМС (или любого другого способа оповещения абонента). ЛК передает в скрипт 3 параметра:

max_codes_number — максимальное количество отправки кодов подтверждения за один цикл восстановления пароля.

Подробное описание

Шаги, из которых состоит восстановление пароля, можно разбить на более мелкие.

Поиск абонента

Процесс начинается с перехода по ссылке "Забыли пароль?" на форме логина. Ссылка показывается только если в конфиге enabled: true.

После перехода по ссылке предлагается ввести логин и телефон для поиска абонента в Гидре.

Логин — логин из доступа к приложению ЛК, телефон — включенный основной телефон для уведомлений, привязанный к БСУ.

Перед поиском из номера телефона удаляются круглые скобки, знак плюса, минусы и пробелы. При нашей конфигурации если абонент ввёл текст "(915) - 777 - 88 - 99", то для поиска используется строка "79157778899". Логин не изменяется.

Если абонент подобрался, то мы переходим к следующему шагу, иначе показывается ошибка: "Абонент с такими данными не существует".

Все коды ошибок заданы в locales/ru.yml, ключ password_recovery.errors.

Генерация кода подтверждения

Длина кода подтверждения задаётся в конфиге в recovery_code_length. Код подтверждения генерируется и хранится в виде строки. Это нужно для того, чтобы работали коды вида "0001".

После вызова скрипта абонент перенаправляется на страницу с вводом кода подтверждения.

Ввод кода подтверждения

Для повторной отправки установлен таймаут в секундах, который задаётся в конфиге в resend_interval. Таймер с таймаутом будет работать даже после обновления страницы.

Количество повторных отправок тоже ограничено параметром в конфиге max_codes_number. Если абонент превысит число повторных отправок, то будет выведена ошибка "Превышено число повторных обращений. Обратитесь в контактный центр".

Если абонент ввёл правильный код, то его перебросит на страницу ввода нового пароля.

Ввод нового пароля

Новый пароль нужно вводить дважды. Если пароль в первом инпуте совпадает с паролем во втором инпуте, то пароль меняется.

После сохранения нового пароля запись в кеше удаляется. Запустить восстановление пароля можно ещё раз.

Программа hydra поддерживает огромное количество служб, благодаря своей быстроте и надёжности она завоевала заслуженную признательность среди тестеров на проникновение. Будучи очень мощной и гибкой, программу hydra нельзя отнести к простым и легко дающимся новичкам. Не надо отчаиваться, если вам не удалось оседлать hydra, я рекомендую вам посмотреть на программу BruteX. Она значительно автоматизирует процесс подбора, более того, она использует ту же самую hydra, но сама вводит необходимые ключи и даже не нужно искать файлы с именами и паролями, поскольку они поставляются вместе с программой.

Установка Hydra

Первым делом нам необходимо установить этот инструмент. Это довольно популярная утилита для тестирования безопасности, поэтому вы можете найти ее в официальных репозиториях. Для установки нужных пакетов в Ubuntu выполните:

sudo apt install hydra

Чтобы установить программу в Red Hat/CentOS команда аналогичная:

sudo yum install hydra

Но в официальных репозиториях, как правило, находятся более старые версии программы. Если вы хотите самую свежую, то придется собрать ее из исходников. Но здесь нет ничего сложного. Сначала загрузим исходники последней версии с GitHub, на данный момент, это 8.4:

Затем необходимо их распаковать и перейти в папку с исходниками:

tar xvpzf thc-hydra-v8.4.tar.gz
$ cd thc-hydra-v8.4

Дальше выполните такие команды для компиляции и установки:

./configure
$ make
$ sudo make install

Разработчики поступили очень грамотно, когда настроили установку в /usr/local. Таким образом, утилита не распространится по всей файловой системе, а будет в одном месте. Если вы еще хотите установить графическую оболочку, то вам нужно переместиться в папку hydra-gtk и выполнить те же команды:

cd hydra-gtk
$ ./configure
$ make
$ sudo make install

Нужно заметить, что для ее сборки необходимы пакеты разработки gtk2. Но я бы не советовал вам использовать этот графический интерфейс. Если разобраться в работе с утилитой через терминал, то он совсем не нужен, тем более, что вся гибкость утилиты раскрывается через командную строку.

Перед тем как мы начнем рассматривать как пользоваться htc hydra, нам необходимо разобраться какие параметры команде передавать и как это делать. Давайте сначала рассмотрим общий синтаксис:

$ hydra опции логины пароли -s порт адрес_цели модуль параметры_модуля

Опции задают глобальные параметры утилиты, с помощью них вы можете настроить необходимые параметры, например, указать что нужно выводить информацию очень подробно, список логинов и паролей для перебора задается тоже с помощью опций, но я выделил его в отдельный пункт. Дальше нужно задать порт сервиса на удаленной машине и ip адрес цели. В конце мы задаем модуль перебора, который будем использовать и параметры модуля. Обычно это самая интересная часть но начнем мы с опций:

Это были основные опции, которые, вы будете использовать. Теперь рассмотрим модули, а также способы аутентификации, которые вы можете подобрать:

Как видите, количество доступных протоколов достаточно большое, вы можете проверить безопасность как ssh, ftp, и до веб-форм. Дальше мы рассмотрим как пользоваться hydra, как использовать самые часто применяемые протоколы.

Перебор паролей FTP

Сначала поговорим про использование hydra в консольной версии. На самом деле, это основная программа. Команда будет выглядеть таким образом:

hydra -l admin -P john.txt ftp://127.0.0.1

hydra -l admin -P john.txt -vV ftp://127.0.0.1

Также, с помощью синтаксиса квадратных скобок, вы можете задать не одну цель, а атаковать сразу целую сеть или подсеть:

hydra -l admin -P john.txt ftp://[192.168.0.0/24]

Также вы можете брать цели из файла со списком. Для этого используется опция -M:

hydra -l admin -P john.txt -M targets.txt ftp

Если подбор по словарю не сработал, можно применить перебор с автоматической генерацией символов, на основе заданного набора. Вместо списка паролей нужно задать опцию -x а ей передать строку с параметрами перебора. Синтаксис ее такой:

минимальная_длина:максимальная_длина:набор_символов

Вся команда будет выглядеть вот так:

hydra -l admin -x 4:4:aA1. ftp://127.0.0.1

Можно пойти другим путем и указать ip цели и порт вручную с помощью опции -s, а затем указать модуль:

hydra -l admin -x 4:4:aA1 -s 21 127.0.0.1 ftp

hydra -l admin -P

адрес_страницы:имя_поля_логина=^USER^&имя_поля_пароля=^PASS^&произвольное_поле=значение:строка_при_неудачном_входе

Строчка запуска программы будет выглядеть вот так:

/john.txt -o ./result.log -V -s 80 127.0.0.1 http-post-form "/wp-admin:log=^USER^&pwd=^PASS^:Incorrect Username or Password"

Переменные ^USER^ и ^PASS^ содержат имя пользователя и пароль взятые из словаря, также, возможно, придется передать дополнительные параметры, они передаются также, только значения будут фиксированы. Заканчивается выражение строкой, которая присутствует на странице при неудачном входе. Скорость перебора может достигать 1000 паролей в минуту, что очень быстро.

Графическая утилита XHYDRA

Хотелось бы еще сказать несколько слов про графическую версию. Это просо интерфейс, который помогает вам сформировать команду для консольной hydra. Главное окно программы выглядит вот так:

Двухфакторная аутентификация (2FA) — это дополнительная защита аккаунта при входе на какой-либо интернет-ресурс.

Как пользоваться 2FA на HYDRA?

На сайтах, которые заботятся о безопасности пользователей, вкладку "двухфакторная авторизация" (или "двухфакторная аутентификация") обычно можно найти в личном кабинете. Чтобы включить 2FA на площадке HYDRA, войдите в свою учётную запись и кликните на свой никнейм в правом верхнем углу.

После нажатия откроется страница личного кабинета "Мои настройки", где можно менять пароль, фотографию аватара, а также вводить свой публичный PGP-ключ.

Нас интересует следующая вкладка под названием "Двухфакторная аутентификация".

HYDRA предлагает 2 варианта управления 2FA: с помощью PGP-ключа (что такое PGP, читайте здесь) и с помощью специальных приложений (например, Authy или Google Autenticator).

Двухфакторная аутентификация через приложение — это по сути дополнительный одноразовый пароль, который постоянно меняется, а не только когда пользователь запрашивает вход на сайт.

Это означает, что помимо стандартного пароля, а также капчи, придётся ввести код, который придёт на смартфон или планшет, или отсканировать QR-код. Выбираем удобный способ и нажимаем "Включить".

1. 2FA с помощью PGP-ключа.

Чтобы использовать PGP-ключ, необходимо для начала ознакомиться с этой статьёй, а затем ввести свой публичный PGP-ключ на странице "Мои настройки".

Потом выбираем вкладку "Двухфакторная аутентификация", PGP-верификация и вводим свой PGP-ключ в ответ на запрос сайта.

Однако большинство пользователей предпочитает способ подтверждения через приложение

2. 2FA с помощью приложения.

После выбора аутентификации через приложение, сайт предлагает 2 варианта: сканировать QR-код или ввести код вручную. Выбранный способ ни на что не влияет, однако удобнее и быстрее воспользоваться QR-кодом.

Для начала сохраните отдельно ключ из скриншота выше, чтобы получить доступ к аккаунту, если смартфон будет потерян.

Далее, какой бы вариант мы ни выбрали, на этом этапе потребуется установленное приложение (в статье в качестве примера скриншот из приложения Google Autenticator).

Сразу после установки приложения на смартфон или планшет появляется выбор, каким способом добавить аккаунт:

Из приложения Google Autenticator

Для примера выбираем "Сканировать штрихкод". Сразу же открывается камера с рамкой, которую нужно наложить на QR-код на HYDRA. Нажимать ничего не требуется, аккаунт добавляется автоматически, как только рамка камеры совпадает с кодом.

Такая надпись появляется после успешного скана кода

Теперь осталось ввести цифры из приложения в пустое поле на странице HYDRA. Обратите внимание, что код меняется в режиме реального времени, поэтому проверьте его актуальность перед подтверждением ввода на сайте.

Теперь проверим, как это работает. Выходим с сайта и пробуем заново залогиниться. Вводим капчу, потом логин, пароль и ещё одну капчу, и видим требование ввести код:

Вводим код, который в данный момент актуален в приложении и нажимаем "Продолжить". Если код введён правильно, попадаем в свою учётную запись.

Итак, краткая инструкция:

• Установить приложение на смартфон (работает как на Android, так и на iOC)
• Выбрать на сайте HYDRA способ аутентификации
• Отсканировать с помощью приложения QR-код или ввести указанный там же код вручную
• Ввести полученный в приложении код на сайт HYDRA

Прелесть этой программы в том, что даже если злоумышленники похитили ваш логин и пароль, они всё равно не смогут авторизоваться от вашего имени без информации, которая есть только у вас при себе, к тому же набор цифр обновляется каждые несколько секунд (а значит код нельзя подсмотреть и запомнить). Также огромным плюсом является работа приложения без Интернета. Одно приложение может одновременно иметь несколько аккаунтов (значит, можно включать 2FA на нескольких сайтах, используя один и тот же смартфон).

Часто пользователи не используют эту необходимую для защиты программу из-за страха, что Google увидит аккаунты, но это не более чем заблуждение, поскольку коды привязаны только к устройству.

Плюсы PGP-верификации практически те же: код известен только вам и хранится в надёжном месте.

Кстати, у каждой приличной криптобиржи есть функция 2FA. Связанно это с тем, что сейчас хакеры обратили пристальное внимание на аккаунты владельцев криптовалют, и потребовалась простая и удобная дополнительная защита.

Мы рекомендуем всем пользоваться 2FA для работы с сайтом HYDRA и другими ресурсами, чтобы защитить и деньги, и приватные данные.

Читайте также:

  
• На голове стоит но не акробат
  
• Как проверить карту памяти фотоаппарата
  
• Сколько служит ssd wd blue
  
• Ugreen тип usb c hdmi
  
• Как перезагрузить навигатор prestigio