Hydra bruteforce sta dando password sbagliate. Non riesco a trovare alcun aiuto? [chiuso]

0

Ok quindi quello che sto cercando di fare è bruteforce il mio account su qualche sito web solo per controllarmi.

Questo NON è per passaggi illegali o uso, sto cercando di crackare la mia password OWN, e sto cercando di ottenere aiuto per vedere cosa sto facendo male con il software.

il fatto è che, quando sto iniziando la bruteforce, non riconosce la vera password che passa alla password successiva e alla fine mi dà le password sbagliate sul mio nome utente. A volte dà anche come tipo 3-4 di password errate che è impossibile.

Ho provato in 2 modi, con i codici terminali su blacktrack (hydra) e sto anche cercando con Hydragtk un software pronto per bruteforce.

Ho provato planty di comandi in modo terminale, questo è uno di questi:

hydra -l admin123 -P / root / Desktop / password -S 80 -V 42.65.20.15 http-post-form

ma non importa quale comando io uso e non importa quanto io cambi e giochi e aggiungo al comando mi dà ancora password errate, chiunque può aiutarti per favore?

    
posta ram 15.01.2014 - 16:01
fonte

1 risposta

4

A seconda della giurisdizione, ciò che stai facendo può essere comunque illegale, anche se questo è "il tuo account". Tecnicamente, quello che fai è un attacco del dizionario online , quindi comporta molte connessioni al server di destinazione, che difficilmente è un "uso normale ed equo" delle risorse di quel server. Hai un account su quel server in base all'accettazione tacita (o esplicita) di alcune regole di utilizzo, che il tuo tentativo di attacco si interrompe. Per fare un'analogia: se noleggi una cassetta di sicurezza in una banca, poi porti in banca un trapano industriale e cominci a perforare la porta della cassastrong, le banche potrebbero chiamare la polizia, anche se quella è la "tua" cassetta di sicurezza.

Pertanto è consigliabile cautela. Per eseguire test senza incorrere in alcun inconveniente legale, ti suggerisco di eseguire il tuo server come una macchina virtuale sul tuo PC.

In ogni caso, ciò che fa THC-HYDRA è che invia potenziali coppie di login + password a un determinato Web server tramite richieste POST - e deve essere in grado di determinare se il tentativo è riuscito o meno. A livello HTTP, il codice di risposta sarà sempre un 200 (un codice "OK") (questa è l'intera differenza tra "Autenticazione di base HTTP" e "Autenticazione basata su modulo HTTP"); lo strumento deve in qualche modo "capire" la pagina Web restituita, che implica necessariamente un'analisi euristica (la pagina Web che dice "scusa, password errata" è pensata per un essere umano , non per una macchina). Suppongo che qualunque metodo euristico venga applicato di default da Hydra non funziona bene (o del tutto) per il sito che stai prendendo di mira. Forse dopo una dozzina di tentativi, il sito restituisce un'altra pagina di errore (non più "scusa, password sbagliata" ma qualcosa come "begone, malvagio hacker!") Che viene interpretata erroneamente da Hydra in un rapporto di successo. Questo spiegherebbe cosa osservi (password errate restituite).

Se la finestra di dialogo con il server utilizza HTTP semplice (non HTTPS), è possibile osservare le richieste e le risposte con uno strumento di monitoraggio della rete come Wireshark. Altrimenti, fare riferimento alla documentazione di Hydra per vedere come configurarlo per il riconoscimento della risposta.

    
risposta data 15.01.2014 - 19:25
fonte

Leggi altre domande sui tag