Hydra http-post brute force

2

Sto riscontrando un problema con la mia sintassi di forzare il mio account su un server per scopi di test e reporting per proteggere il resto della community a portata di mano.

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:F=Invalid"

Ho usato il plugin "FireForce" per Firefox con un risultato positivo nel recuperare la password da un + -20 o più word list sul mio desktop. Tuttavia ora vorrei passare a un elenco di parole di grandi dimensioni, ma ho problemi a farlo. Ho allegato schermate del mio codice Hydra, del mio codice di intercettazione e dei miei risultati per un login riuscito e un login fallito. Qualcuno può esaminarlo e fornire un feedback su questo problema?

* Avviso: In FireForce, dove dovrebbe essere il mio messaggio fallito, devo rifare il riferimento all'URL della pagina di accesso per poterlo riprendere come tentativo fallito. Sembra che la pagina si reindirizzerà se ha superato il test della forza bruta. Dettagli sul mio nome utente / password possono essere forniti personalmente se necessario.

Sembra che il modulo che sto utilizzando abbia un numero illimitato di tentativi e non vada mai in time out o blocchi le mie richieste quando uso Fireforce o test manuali.

    
posta Soprono 21.08.2015 - 09:49
fonte

1 risposta

2

Ho monitorato le risposte che Hydra stava trasmettendo sulla rete con Wireshark e la mia sintassi stava funzionando per cominciare. L'unico problema è che la pagina anche quando si accede con successo con il nome utente e la password è rimasta sulla stessa pagina (302 Reindirizza per una combo corretta) Avevo quindi modificato la mia stringa di successo per cercare "302" anziché "disconnetti" o qualcosa del genere l'utente vedrebbe. Ciò significa che la mia risposta finale per questi problemi è la seguente:

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:S=302"
    
risposta data 25.08.2015 - 08:33
fonte

Leggi altre domande sui tag