Problema: Hydra continua a darmi password errate ogni volta. Sto usando la forza bruta tramite Hydra per indovinare la password corretta su un determinato sito web.
Prima di tutto ho usato BurpSuite per intercettare la richiesta della pagina:
POST /abcdefg/ HTTP/1.1
Host: localhost:2000
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost:2000/abcdefg/ Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 23
usr=admin&pass=password
Sto usando questi parametri per la riga di comando:
hydra -f -v -V 127.0.0.1 -s 2000 http-post-form -l admin -P /documents/pass.txt "/abcdefg/:pass=^PASS^:incorrect password"
- Host = 127.0.0.1 (So che posso provare anche con localhost )
- Port = 2000 (Il mio computer locale sta ascoltando HTTP alla porta 2000)
- Metodo = link
- URL = / abcdefg /
- Parametri modulo = pass = ^ PASS ^
- Risposta di errore = password errata . Quando faccio clic su invia , la pagina viene ricaricata con lo stesso URL, ma con solo il testo "password errata" sullo schermo.
- Utente = amministratore
- Password file = pass.txt
L'origine della pagina della pagina di accesso:
<html>
<head>
<title>Login</title>
</head>
<form action="./" method="post">
username <input type="text" name="usr"></br>
password <input type="password" name="pass"></br>
<input type="submit" value="Submit">
</form>
</html>
L'origine della pagina della pagina "password errata":
<html>
<head>
<title>Login</title>
</head>
<br>incorrect password
Si prega di dare un'occhiata a tutti i parametri per assicurarsi che sto usando i comandi giusti. Ho anche dato un'occhiata a questa domanda: Perché Hydra restituisce 16 password valide quando nessuna è valida? che suggerisce di controllare i cookie della pagina, ma la pagina web in cui sto cercando di forzare la forza non usa i cookie, quindi penso che sia irrilevante?
Sto appena iniziando i test di penetrazione quindi sarebbe bello se voi ragazzi poteste darmi una mano, potrei mancare dei dettagli ovvi :) Grazie in anticipo!