web-dev-qa-db-ja.com

成功のためのHydra http-post総当たり

手元にあるコミュニティの残りを保護するために、テストとレポートの目的でサーバーに自分のアカウントをブルートフォースで強制する構文に問題があります。

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:F=Invalid"

私はFirefoxの「FireForce」プラグインを使用して、デスクトップの+ -20程度のWordリストからパスワードを取得することに成功しました。しかし、今は大きな単語リストに移動したいのですが、これを行うのに問題があります。 Hydraコード、Interceptコード、成功したログインと失敗したログインの結果のスクリーンショットを添付しました。誰かがこれを調べて、この問題に関するフィードバックを提供できますか?

*注意:失敗したメッセージが表示されるはずのFireForceでは、失敗した試みとしてピックアップするために、ログインページへのURLを再参照する必要があります。ブルートフォーステストに合格した場合、ページはリダイレクトされているようです。ユーザー名/パスワードの詳細は、必要に応じて個人的に提供できます。

私が使用しているフォームは無制限の再試行があり、Fireforceまたは手動テストを使用するときにタイムアウトになったりリクエストがブロックされたりすることはありません。

Successful Attempt

Hydra Results with Password in file

3
Soprono

HydraがWiresharkを使用してネットワーク経由で送信している応答を監視し、構文は最初から機能していました。唯一の問題は、ユーザー名とパスワードを使用して正常にアクセスした場合でも、ページが同じページにとどまったことです(302正しいコンボへのリダイレクト)。ユーザーに表示されます。つまり、この問題に対する私の最終的な回答は次のとおりです。

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:S=302"
4
Soprono