Sto imparando come forzare le pagine di login web con uno strumento popolare di forza bruta chiamato "Hydra". Sto usando Kali Linux (VirtualBox) per fare questo. Ho installato DVWA (Damn Vulnerable Web Application) e lo sto eseguendo localmente.
NOTA: Sto cercando di forzare la forza /DVWA/login.php
(la pagina di accesso DVWA effettiva) non /DVWA/vulnerabilities/brute/
(la sfida forza bruta)
Ecco le informazioni di Burp Suite
POST /DVWA/login.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://localhost/DVWA/login.php
Cookie: security=impossible; PHPSESSID=72mh5pvdosgo98nmij6dha4min
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 77
username=e&password=e&Login=Login&user_token=5e093d39eb72145d6b0b2de187340825
Ho usato Burp Suite per intercettare la richiesta e ottenere le informazioni necessarie con Quelle informazioni ho costruito il seguente comando:
hydra -l admin -P /usr/share/dirb/wordlists/dvwa.txt localhost http-post-form "/dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed" -V
dvwa.txt è solo un file di testo con due password: password1 e password (la password corretta per il login è password). Quando ho eseguito idra è tornato con questo:
Hydra (http://www.thc.org/thc-hydra) starting at 2018-10-06 09:48:12
[DATA] max 2 tasks per 1 server, overall 2 tasks, 2 login tries (l:1/p:2), ~1 try per task
[DATA] attacking http-post-form://localhost:80//dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed
[ATTEMPT] target localhost - login "admin" - pass "password1" - 1 of 2 [child 0] (0/0)
[ATTEMPT] target localhost - login "admin" - pass "password" - 2 of 2 [child 1] (0/0)
[80][http-post-form] host: localhost login: admin password: password
[80][http-post-form] host: localhost login: admin password: password1
1 of 1 target successfully completed, 2 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2018-10-06 09:48:13
Questo risultato non è accurato, password1 non è una password valida, tuttavia la password è una password valida. Che cosa sto facendo di sbagliato? Ho modellato il mio comando in base a questo sito web .
Mi manca qualcosa? Ho notato che il sito sopra non ha messo localhost nei loro comandi ma piuttosto un IP? Sto eseguendo DVWA localmente sul mio computer, quindi metto localhost. Se potessi essere il più chiaro e dettagliato possibile, sarebbe fantastico! Sono nuovo di Hydra, Kali Linux e forcing bruto!