Hydra https-form-post [chiuso]

0

Non ho mai sperimentato molto con i cracker di password online. Ho tentato di utilizzare Hydra oggi su questo sito web www.athena2.harker.org e continuo a ricevere falsi positivi.

Questo è quello che ho fatto finora:

  • ha eseguito il ping del sito Web e ottenuto l'indirizzo IP del 209.23.201.55
  • ha identificato il tipo di modulo, è un https-form-post

    <form id="login" method="post" action="https://athena2.harker.org/login/index.php">
    
  • ha rilevato la risposta all'errore: è "Accesso non valido, riprova"

  • esegui questo comando

    hydra 209.23.201.55 https-form-post "/login/index.php:username=^USER^&password=^PASS^&Login=Login:Invalid login" -l test -p test -t 10 -w 30 -o example.txt
    

Qualcuno può dirmi cosa sto facendo male?

Lavoro in IT per la scuola. Operiamo sulla piattaforma Moodle open source e uno studente ha recentemente ottenuto l'accesso come amministratore, stiamo valutando la forza delle password che emettiamo. (Password a 6 cifre / lettera minuscola). Non date per scontato che le persone su questo forum attacchino gli obiettivi maliziosamente, i test di penetrazione e la sicurezza del computer siano campi legittimi, ho pensato che tutti qui sarebbero stati consapevoli di ciò.

    
posta Jackson 14.03.2014 - 06:45
fonte

2 risposte

3

Stai attaccando un sistema live, questo è ciò che stai facendo male.

Prego stop a meno che non sia stato esplicitamente contratto per interrompere la sicurezza su questo servizio (ad esempio, hai un contratto di test di penetrazione firmato con i proprietari del server).

Modifica:

È positivo che tu abbia il permesso di eseguire questo test (ho visto un numero sorprendente di domande simili dove questo non è il caso, e gli utenti si metterebbero a grave rischio di essere processati).

Quindi con le nuove informazioni, il tuo obiettivo è testare la forza delle password con 6 lettere minuscole.

  1. Puoi farlo teoricamente. Le permutazioni massime possibili sono 26 ^ 6 = ~ 309 milioni. Prendi il limite di velocità di accesso per unità di tempo, e puoi quindi capire quanto tempo ci vorrà per craccare una password. Con un'app Web configurata correttamente, questo metodo dovrebbe never funzionare (supponendo che le password di amministratore siano casuali).

  2. Puoi farlo prendendo il file delle password salate e con hash e brute forzandolo "offline". Questo simula in modo più accurato cosa sarebbe successo in un attacco ed elimina il rischio che l'attacco al sistema live possa causare un errore.

risposta data 14.03.2014 - 08:25
fonte
0

È abbastanza comune che i server web non visualizzino lo stesso errore dopo circa 20 errori consecutivi, prova a cercare i campi di input, tendono ad essere presenti fino al login riuscito.

    
risposta data 14.03.2014 - 07:41
fonte

Leggi altre domande sui tag