Sicurezza delle password, "hacking" delle pagine web (hydra)

0

Il nostro laboratorio all'università riguardava la sicurezza delle password, "hacking" delle pagine web (usando hydra) Quindi usando il comando qui sotto puoi ottenere la password dell'amministratore.

hydra -l root -P /home/ubuntu/rockyou.txt -t 1 192.168.159.130 http-get /whmcs/admin/

La mia domanda è: cosa succede se non conosco questa parte /whmcs/admin/ c'è un comando simliar che può ottenere la password senza questa parte?

    
posta M_M 06.05.2017 - 12:20
fonte

1 risposta

1

192.168.159.130 è l'indirizzo IP del server che si desidera crackare e http-get è il protocollo utilizzato per inviare password, in questo caso autenticazione HTTP semplice e /whmcs/admin/ la directory sul server. I server Web possono avere più siti e configurare utenti e password diversi per loro. Quindi gli account validi su /whmcs/admin/ potrebbero essere diversi da quelli su /phpmyadmin/ o /plesk/ .

Ecco perché devi dire a hydra quale directory esattamente vuoi crackare. Di solito non c'è modo di dire quante directory con protezione individuale della password HTTP sono configurate su un server e quali altre funzionalità ci sono sul server che potrebbero essere chiamate username + password di autenticazione (come i moduli di login).

Di solito non eseguiresti uno strumento come hydra cieco. Dovresti provare percorsi URL e protocolli diversi su un server web finché non ti viene richiesta una password, scoprire quale tecnologia viene utilizzata per implementare la richiesta di password e quindi eseguire hydra su di essa.

    
risposta data 06.05.2017 - 13:57
fonte

Leggi altre domande sui tag