Sto eseguendo Hydra contro una VM vulnerabile in esecuzione sul mio server. Sto cercando di trovare la password per il nome utente "admin".
Questo è il comando che ho eseguito:
hydra -vV -l admin -P /root/Documents/000webhost.txt 10.0.2.10 http-post-form '/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect'
Dopo un po 'di tempo, ho ricevuto questo messaggio:
[80][http-post-form] host: 10.0.2.10 login: admin
[STATUS] attack finished for 10.0.2.10 (waiting for children to complete tests)
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2017-12-27 18:12:43
Dice che ha trovato la password, ma non mostra quella password.
Di solito la password viene visualizzata nella riga che dice anche "login: admin".
Qualche idea su cosa sta succedendo? Grazie.
Modifica
Ho cucito per aver trovato il problema. C'è una linea / password vuota (ad esempio "") nel file. Si mostra che questa password vuota è stata tentata 19 righe prima dell'output "risultato":
[ATTEMPT] target 10.0.2.10 - login "admin" - pass "" - 15067 of 720303 [child 10] (0/0)
Ho inserito il "" come password direttamente nell'applicazione web di destinazione e la risposta fornita è diversa da "non è corretto", causando quindi il falso positivo. Ciò che è strano è che Hydra non lo emette.
Ho creato un file di password più piccolo con una riga vuota e il problema è stato ripetuto. Ho quindi rimosso la riga vuota dal file e ho eseguito di nuovo Hydra, questa volta senza ottenere il falso positivo.
Grazie ancora.