暴力破解攻击是指对加密文件数据进行所有有可能的密文，直到找到正确的密文。从资源和时间占用的角度看，暴力破解的攻击成本都颇为高。

1、Hydra

kali 自带的暴力破解攻击 工具。在应用程序中直接搜索Hydra。会看到如下页面

包含了一下主流的用法，下列是一些例子：

hydra -l user -P passlist.txt ftp://192.168.0.1
  hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN
  hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
  hydra -l admin -p password ftp://[192.168.0.0/24]/
  hydra -L logins.txt -P pws.txt -M targets.txt ssh

如果你想要使用SMIP攻击一个位于192.168.1.1的管理员账户的密码文件，可以输入：

hydra -l admin -p /root/password.txt 192.168.1.1 smtp

如果要在Web表单中使用Hydra，我们就需要收集之前在Tampere Date插件中收到的信息。在Web表单中使用Hydra的语法是<url>：<表单数据><失败字符串>。

由于语法可能会非常复杂，而且站点之间也会发生变化。同一个网站上的也有可能不同。先在实验室中掌握Tamper Data和Hydra，最后现场渗透测试中使用。

2、DirBuster

DirBuster是为了暴力破解Web应用服务器上的目录和文件名而设计的。很多情况下，Web服务器看上去依然是默认安装后的状态，而应用和网页实际上都隐含在里面。DirBuster就是为了找出这些隐藏的因素而设计的。

DirBuster同样可以在kali 应用程序中找到，名为dirbuster。

打开后至少要输入目标的URL，选着线程数（不超过100），以及文件列表。

建议直接去下载一个字典：https://github.com/rootphantomer/Blasting_dictionary

 按下右下角的Start就行了。

但是在运行的时候会告诉你完成的时间大概在几天之后，但是你通常可以在几分钟之内找到有用的数据。

 

 在rusult当中界面中，找到 report  找到 Generate Report 单击它就可以在弹出的文本文件中展现你发现的内容。

 

3、WebSlayer

WebSlayer 是一个Web应用程序暴力破解工具。WebSlayer 可以用来暴力破解表单当中的User/password 、GET、POST等等参数。也可以找出没有被链接的资源。同时提供了载荷生成器和结果分析器。

但是目前的kali2021已经下架了该工具。可以通过别的途径进行安装。官网下提供的一个使用方法：

https://zing.gitbooks.io/kali-lunix/content/06x/6x35_WebSlayer.html