Hydra fornisce password errate

3

Ho cercato di usare l'hydra (modo educativo) ma senza successo. Il metodo del sito è http-post ma eseguito da ajax (dovrebbe essere un problema? Penso di no). Dopo aver eseguito il comando ho ottenuto un output di password e username presumibilmente validi. Ho visto che alcune persone hanno chiesto il motivo per cui hydra forniva password e nomi utente errati e la risposta era che il comando includesse il PHPSESSID. Quindi ho cercato di utilizzare PHPSESSID ma non cambia nulla.

il comando:

hydra -L id.txt -P id.txt -s 80 -f 62.239.61.241 http-post-form "/Login/ajax/user-login.php:data=username=^USER^&password=^Pass^&remember=off&returnpath=:Fail :H=Cookie: security=low;PHPSESSID=9adriqaprd8f1qgot3ia1k3"

Qualche suggerimento per la password sbagliata?

    
posta user40118 18.02.2014 - 21:06
fonte

1 risposta

1

Il modo in cui Hydra determina se un tentativo ha avuto esito positivo o meno è confrontando le stringhe trovate nelle pagine di ritorno riuscite e non riuscite.

nello scenario presumo che l'applicazione restituisca Fail se il tentativo non ha successo e qualcos'altro se lo è. se la pagina è vuota in entrambi i casi, significa che tutti i tentativi saranno considerati efficaci.

dovresti trovare una stringa univoca nella pagina di ritorno (o nell'origine della pagina) e inserirla dopo:

maggiori informazioni qui

link

    
risposta data 06.05.2014 - 21:20
fonte

Leggi altre domande sui tag