tl; dr - Usa ZAP per trovare i parametri username e password, quindi Hydra con l'opzione -u per eseguire il login brute force, iterando attraverso le password invece degli utenti come richiesto.
Dettagli -
Userei THC Hydra con l'interruttore '-u'. Lo strumento è molto semplice e realizza ciò che stai guardando di default. Viene preinstallato su Kali ed è possibile installare il pacchetto sulla maggior parte dei sistemi basati su Unix.
Dalla pagina man di Hydra, l'opzione -u "circonda gli utenti, non le password". Questo proverà pass01 per tutti i 200 utenti prima di provare pass02 per ciascun utente. Ecco un esempio di come dovrebbe essere il tuo comando:
hydra www.target-url.com http-form-post -L usernames.txt -P passwords.txt "/ path / to / login: username = ^ USER ^ & password = ^ PASS ^: Login errato" -u -V -o hydra_output.txt
Analisi: "hydra" è il nome del programma. "www.target-url.com" è l'indirizzo del target, ma in alternativa puoi utilizzare un IP (e specificare una porta). "Http-form-post" è il servizio che stai cercando di potenziare la forza. "-L" e "-P" sono piuttosto auto-esplicativi, sono il nome utente e i file delle password di accesso.
La parte successiva tra virgolette ha 3 parametri che puoi catturare con il proxy ZAP o visualizzando il codice sorgente, e sono separati da ":". Il primo è il percorso, seguito da due punti e i parametri username e password identificati da ZAP (mi piace Burp, ma ZAP farà il trucco). Hydra sostituirà le stringhe "^ USER ^" e "^ PASS ^" con i valori dei tuoi file utente / pass.
Infine, il -u, come detto prima, continuerà a scorrere i nomi utente, piuttosto che le password. "-V" ti mostrerà ogni ipotesi di password in stdout in modo da poter verificare che funzioni come dovrebbe e -o invierà la password corretta al file hydra_output.txt.
Spero che questo sia stato di aiuto. Non ho molta familiarità con ZAP, ma la versione gratuita di Burp Suite è un prodotto equivalente per quanto ne so, e Burp Intruder dovrebbe avere la funzionalità che desideri se devi utilizzare un proxy.