12 个版本 (破坏性更新)
| 1.0.0 |
|
|---|---|
| 0.9.0 | 2024 年 5 月 28 日 |
| 0.8.0 | 2024 年 1 月 30 日 |
| 0.7.1 | 2023 年 12 月 18 日 |
| 0.6.1 | 2023 年 11 月 28 日 |
#133 在 身份验证
每月 27 次下载
370KB
7.5K SLoC
Legba 是一个使用 Rust 和 Tokio 异步运行时构建的多协议凭据暴力破解器/密码喷洒器/枚举器,旨在在消耗比类似工具更少资源的同时实现更好的性能和稳定性(见下面的基准测试)。
有关构建说明、用法和完整选项列表,请查看项目 Wiki。
支持的协议/功能
AMQP (ActiveMQ, RabbitMQ, Qpid, JORAM 和 Solace), Cassandra/ScyllaDB, DNS 子域名枚举,FTP,HTTP(基本身份验证,NTLMv1,NTLMv2,多部分表单,支持 CSRF 的自定义请求,文件/文件夹枚举,虚拟主机枚举),IMAP,Kerberos 预身份验证和用户枚举,LDAP,MongoDB,MQTT,Microsoft SQL,MySQL,Oracle,PostgreSQL,POP3,RDP,Redis,Samba,SSH / SFTP,SMTP,Socks5,STOMP(ActiveMQ,RabbitMQ,HornetQ 和 OpenMQ),TCP 端口扫描,Telnet,VNC。
基准测试
以下是对 legba 和 thc-hydra 在本地主机上的相同测试服务器上运行一些常用插件时的基准测试。该基准测试在配备 M1 Max CPU 的 macOS 笔记本电脑上执行,使用包含 1000 个密码的单词列表,正确密码位于最后一行。Legba 以发布模式编译,Hydra 通过 brew 公式 编译和安装。
这绝对不是一项详尽的基准测试(一些 legba 功能并不受 hydra 支持,例如 CSRF 令牌抓取),但此表仍清楚地说明了使用异步运行时如何显著提高性能。
| 测试名称 | Hydra 任务 | Hydra 时间 | Legba 任务 | Legba 时间 |
|---|---|---|---|---|
| HTTP 基本身份验证 | 16 | 7.100 秒 | 10 | 1.560 秒 (🚀 4.5 倍更快) |
| HTTP POST 登录 (wordpress) | 16 | 14.854 秒 | 10 | 5.045 秒 (🚀 2.9 倍更快) |
| SSH | 16 | 7 分 29.85 秒 * | 10 | 8.150 秒 (🚀 55.1 倍更快) |
| MySQL | 4 ** | 9.819 秒 | 4 ** | 2.542 秒 (🚀 3.8 倍更快) |
| Microsoft SQL | 16 | 7.609 秒 | 10 | 4.789 秒 (🚀 1.5 倍更快) |
* 虽然这个结果可能表明Hydra使用连接尝试之间的默认延迟。我已经尝试研究源代码以查找这样的延迟,但据我所知,没有这样的延迟。由于某种原因,它运行得非常慢。
** 由于MySQL,Hydra自动将任务数量减少到4,因此Legba的并发级别也调整为4。
许可证
Legba在GPL 3许可证下发布。要查看项目依赖项的许可证,请使用以下命令安装cargo license: cargo install cargo-license,然后运行 cargo license。
依赖项
~37–79MB
~1.5M SLoC