Hydra爆破PHP后台前必须确认登录接口类型,仅对表单POST或HTTP Basic Auth有效;需抓取真实请求路径、参数及响应特征,正确构造命令并处理重定向、WAF、会话绑定等问题。
hydra爆破PHP后台前必须确认登录接口类型
Hydra不是万能钥匙,它只对基于表单提交(POST)或HTTP Basic Auth的登录点有效。很多所谓“PHP后台”其实是前端Vue/React调用/api/login接口,后端用PHP处理——这种场景下,直接对index.php或login.php跑hydra大概率失败,因为没抓到真实请求参数。
实操建议:
- 用浏览器开发者工具(Network → XHR / Fetch)看登录时发的是哪个URL、method是GET还是POST、body里有哪些字段(常见如
username、password、token、captcha) - 如果带CSRF token或图形验证码,hydra默认不支持自动提取,得先写脚本预取token,再传给hydra,否则永远返回“密码错误”
- 检查响应状态码和响应体:有些后台无论对错都返回200,但成功时跳转
Location: /admin/或返回{"code":0,"msg":"success"},这时要用-M配合-s匹配关键字,不能只看HTTP状态
hydra命令中-P和-p参数别混用,PHP常见路径要手动指定
很多人输hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.100 http-post-form就以为完事了,结果连请求都发不出去——因为http-post-form后面必须跟完整路径+参数模板+失败判定条件,缺一不可。
典型PHP后台登录入口可能在这些路径,需逐个试:
立即学习“PHP免费学习笔记(深入)”;
/admin/login.php/system/login.php-
/phpmyadmin/index.php(注意:phpMyAdmin默认用HTTP Basic Auth,该用http-get-form或http-head) -
/wp-login.php(WordPress不是纯PHP后台,但常被误当作目标)
正确命令示例(假设登录页是/admin/login.php,表单字段为user和pass,失败时页面含Invalid credentials):
hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.100 http-post-form "/admin/login.php:user=^USER^&pass=^PASS^:Invalid credentials"
爆破失败的三个高频原因:重定向、WAF、会话绑定
Kali里hydra看着在跑,但实际没发对请求,或者被拦截了,常见表现是“all tries failed”或速度极慢。
- 后台登录成功后302跳转到
/admin/dashboard.php,而hydra默认不跟随重定向(-f才跟),但跟了又可能因跳转后无“失败特征”导致误判;稳妥做法是关掉-f,改用-s "Location: /admin/"匹配响应头 - 目标开了Cloudflare、D盾或自研WAF,连续几次错密就封IP或弹验证码;此时
-w 5(超时5秒)、-t 2(线程减到2)能降低触发阈值,但别指望绕过强规则 - 某些PHP后台用
session_start()校验Referer或User-Agent,hydra默认不带Referer,需加-H "Referer: http://192.168.1.100/admin/login.php",否则服务端直接拒收POST
别把php漏洞和弱口令当成一回事
标题里“挖PHP漏洞”和“hydra爆破弱口令”是两件事:hydra只解决认证环节,不探测file_get_contents()任意文件读取、eval($_GET['x'])代码执行这类真漏洞。如果你拿到一个PHP后台但账号密码全不对,优先做目录扫描(gobuster dir -u http://x.x.x.x -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt),找/backup/、/config.php.bak、/install/之类路径,比盲扫密码高效得多。
真正要挖PHP代码层漏洞,得上phpsploit、sqlmap --technique E(报错注入)、或手动审计源码——hydra在这类任务里,只是最前端的一把小钥匙,拧不开锁芯就别硬转。
