Il modulo metasploit 'http_login' non è in grado di Brute Force il bersaglio. Eventuali suggerimenti? [chiuso]

Sto cercando di forzare l'autenticazione di base HTTP sul dominio

pentesteracademylab.appspot.com

Il percorso completo è

pentesteracademylab.appspot.com/lab/webapp/basicauth

Sto usando il modulo sotto il percorso in msf come

auxiliary/scanner/http/http_login

Imposta AUTH_URI come

/lab/webapp/basicauth

VHOST e RHOSTS come

pentesteracademylab.appspot.com

Hai anche impostato il auth_type desiderato, il metodo come post e altri parametri. Sopra dando run / exploit, dà un errore. Questo è menzionato di seguito.

msf auxiliary(http_login) > run

[*] Attempting to login to http://74.125.68.141:80/lab/webapp/basicauth
[-] 74.125.68.141:80 HTTP - Verification failed: No authentication required
[*] Scanned 2 of 2 hosts (100% complete)
[*] Auxiliary module execution completed

Può essere usato come server google per l'hosting del servizio, la risposta sopra è in arrivo, tuttavia ho verificato lo stesso con nmap script nse 'http_brute' e ho potuto brute password / nome utente. Qualche idea o suggerimento in modo che io possa andare avanti ??

Nota: per riferimento, "pentesteracademylab.appspot.com" è un laboratorio di pratica.

----------------------------------------------- ---------------------------------

edit1

msf auxiliary(http_login) > show options

Module options (auxiliary/scanner/http/http_login):

   Name              Current Setting                            Required    Description

---- --------------- -------- -----------

   AUTH_URI          /lab/webapp/basicauth                      no            The URI to authenticate against (default:auto)
   BLANK_PASSWORDS   false                                      no        Try blank passwords for all users
   BRUTEFORCE_SPEED  5                                          yes       How fast to bruteforce, from 0 to 5
   DB_ALL_CREDS      false                                      no        Try each user/password couple stored in the current database
   DB_ALL_PASS       false                                      no        Add all passwords in the current database to the list
   DB_ALL_USERS      false                                      no        Add all users in the current database to the list
   PASSWORD                                                     no        A specific password to authenticate with
   PASS_FILE         /home/pentesterAcademy/demo/passwords.txt  no        File containing passwords, one per line
   Proxies                                                      no        A proxy chain of format type:host:port[,type:host:port][...]
   REQUESTTYPE       POST                                       no        Use HTTP-GET or HTTP-PUT for Digest-Auth, PROPFIND for WebDAV (default:GET)
   RHOSTS            pentesteracademylab.appspot.com            yes       The target address range or CIDR identifier
   RPORT             80                                         yes       The target port
   STOP_ON_SUCCESS   true                                       yes       Stop guessing when a credential works for a host
   THREADS           20                                         yes       The number of concurrent threads
   USERNAME          admin                                      no        A specific username to authenticate as
   USERPASS_FILE                                                no        File containing users and passwords separated by space, one pair per line
   USER_AS_PASS      false                                      no        Try the username as the password for all users
   USER_FILE                                                    no        File containing users, one per line
   VERBOSE           true                                       yes       Whether to print output for all attempts
   VHOST             pentesteracademylab.appspot.com            no        HTTP server virtual host