Ho cercato di usare l'hydra (modo educativo) ma senza successo. Il metodo del sito è http-post ma eseguito da ajax (dovrebbe essere un problema? Penso di no). Dopo aver eseguito il comando ho ottenuto un output di password e username presumibilmente validi. Ho visto che alcune persone hanno chiesto il motivo per cui hydra forniva password e nomi utente errati e la risposta era che il comando includesse il PHPSESSID. Quindi ho cercato di utilizzare PHPSESSID ma non cambia nulla.
il comando:
hydra -L id.txt -P id.txt -s 80 -f 62.239.61.241 http-post-form "/Login/ajax/user-login.php:data=username=^USER^&password=^Pass^&remember=off&returnpath=:Fail :H=Cookie: security=low;PHPSESSID=9adriqaprd8f1qgot3ia1k3"
Qualche suggerimento per la password sbagliata?