Hydra dice di aver trovato una password, ma non la mostra

1

Sto eseguendo Hydra contro una VM vulnerabile in esecuzione sul mio server. Sto cercando di trovare la password per il nome utente "admin".

Questo è il comando che ho eseguito:

hydra -vV -l admin -P /root/Documents/000webhost.txt 10.0.2.10 http-post-form '/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect'

Dopo un po 'di tempo, ho ricevuto questo messaggio:

[80][http-post-form] host: 10.0.2.10   login: admin
[STATUS] attack finished for 10.0.2.10 (waiting for children to complete tests)
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2017-12-27 18:12:43

Dice che ha trovato la password, ma non mostra quella password.

Di solito la password viene visualizzata nella riga che dice anche "login: admin".

Qualche idea su cosa sta succedendo? Grazie.

Modifica

Ho cucito per aver trovato il problema. C'è una linea / password vuota (ad esempio "") nel file. Si mostra che questa password vuota è stata tentata 19 righe prima dell'output "risultato":

[ATTEMPT] target 10.0.2.10 - login "admin" - pass "" - 15067 of 720303 [child 10] (0/0)

Ho inserito il "" come password direttamente nell'applicazione web di destinazione e la risposta fornita è diversa da "non è corretto", causando quindi il falso positivo. Ciò che è strano è che Hydra non lo emette.

Ho creato un file di password più piccolo con una riga vuota e il problema è stato ripetuto. Ho quindi rimosso la riga vuota dal file e ho eseguito di nuovo Hydra, questa volta senza ottenere il falso positivo.

Grazie ancora.

    
posta MyNameIsZero 28.12.2017 - 01:41
fonte

1 risposta

0

Il file delle password che ho inviato a Hydra contiene una riga vuota (ad esempio ""). Quando questo valore viene inviato all'app Web, la risposta è "La password è vuota", che è diversa da "non è corretto" che restituisce per la maggior parte delle altre password e che ho inviato a Hydra.

Una cosa simile accade quando la password è "0", anche se, in questo caso, Hydra mostra la password tentata.

Per il momento, ho rimosso queste due voci dal file delle password, evitando il falso positivo che stavo ottenendo.

Se qualcuno conosce un modo per dire a Hydra di supportare più stringhe di "fallimento", ti prego di farmelo sapere. Grazie.

    
risposta data 28.12.2017 - 12:23
fonte

Leggi altre domande sui tag