Hydraを介してHTTPログインフォームをブルートフォースで強制しようとしています。
私が抱えている問題は、ページによって返される応答コードに関するものです。すべてのパスワードで誤検知を受けています。
ログインが失敗した場合でもHTTP 200応答が返され、これが誤検知の原因になると思います。
ヒドラを変更して、コンテンツの長さのヘッダーや返された一意の文字列のようなものを探して、誤検知を回避するにはどうすればよいですか?
200
応答を取得することは問題ありません。応答ページで何を探すかをHydra
に指示する必要があります。
たとえば、SocialSite.com/login.php
にログインしていて、資格情報が間違っていると、ログインページにBad username or password!
のメッセージが表示されます。
これを行うには、このテキストの一部をhydraコマンドの最後に追加します
hydra 192.168.1.69 http-form-post "socialsite.com/login.php:user=^USER^&pass=^PASS^:Bad username" ...
http-form-post引数の最後に:Bad username"
があることに注意してください。これは、ヒドラに応答でそのテキストを探すように指示します。