web-dev-qa-db-ja.com

ハイドラ経由のブルートフォースポスト

Hydraを介してHTTPログインフォームをブルートフォースで強制しようとしています。

私が抱えている問題は、ページによって返される応答コードに関するものです。すべてのパスワードで誤検知を受けています。

ログインが失敗した場合でもHTTP 200応答が返され、これが誤検知の原因になると思います。

ヒドラを変更して、コンテンツの長さのヘッダーや返された一意の文字列のようなものを探して、誤検知を回避するにはどうすればよいですか?

2
Hysii

200応答を取得することは問題ありません。応答ページで何を探すかをHydraに指示する必要があります。

たとえば、SocialSite.com/login.phpにログインしていて、資格情報が間違っていると、ログインページにBad username or password!のメッセージが表示されます。

これを行うには、このテキストの一部をhydraコマンドの最後に追加します

hydra 192.168.1.69 http-form-post "socialsite.com/login.php:user=^USER^&pass=^PASS^:Bad username" ...

http-form-post引数の最後に:Bad username"があることに注意してください。これは、ヒドラに応答でそのテキストを探すように指示します。

参照するための完全な例を示します

2
Anthony Russell