web-dev-qa-db-ja.com

Bruteforce-JSONでのHydraの使用

HydraがJSONリクエストを処理できるように、私の人生のために努力しています。

一般:

  • リクエストURL: https://api.myapp.app/api/accounts/login/
  • リクエストメソッド:POST
  • ステータスコード:401無許可
  • リモートアドレス:xx.xxx.xxx.xxx
  • リファラーポリシー:no-referrer-when-downgrade

応答ヘッダー:

  • Access-Control-Allow-Methods:GET、POST

リクエストヘッダー:

リクエストペイロード:

{username: "root", password: "toor"}
password: "toor"
username: "root"

無効なログインに対する応答:{"エラー": "ユーザー名またはパスワードが正しくありません"}

何度も試してみましたが、次のエラーメッセージが表示され続けます。次のエラーメッセージが表示されます:[エラー]ターゲット定義が無効です!

hydra https://api.myapp.app https-form-post "api/account/login:username=^USER^&password=^PASS^:F={\"error:\" \"username \" \"or \" \"password \" \"wrong\"}" -l root -p toor
1
pieman15

Hydraコマンドを機能させることはできませんでしたが、パタテーター https://github.com/lanjelot/patator については学習しました。

Patadorコマンド:python patator.py http_fuzz url = https://api.myapp.app/api/login/ method = POST body = 'username = root&password = FILE0 '0 =/home/[辞書ファイル]

誰かがHyrdaのエキスパートである場合でも、私は同じようにHydraを使用する方法を学ぶことに興味があります。おしゃぶりツールは機能しますが、Hydraにあるレート制限やその他の機能がサポートされているかどうかはわかりません。ありがとうございました。

1
pieman15