Bruteforce-JSONでのHydraの使用
HydraがJSONリクエストを処理できるように、私の人生のために努力しています。
一般:
- リクエストURL: https://api.myapp.app/api/accounts/login/
- リクエストメソッド:POST
- ステータスコード:401無許可
- リモートアドレス:xx.xxx.xxx.xxx
- リファラーポリシー:no-referrer-when-downgrade
応答ヘッダー:
- Access-Control-Allow-Methods:GET、POST
リクエストヘッダー:
- Content-Type:application/json
- 起源: https://myapp.app
- リファラー: https://myapp.app/login
- ユーザーエージェント:Mozilla/5.0
リクエストペイロード:
{username: "root", password: "toor"}
password: "toor"
username: "root"
無効なログインに対する応答:{"エラー": "ユーザー名またはパスワードが正しくありません"}
何度も試してみましたが、次のエラーメッセージが表示され続けます。次のエラーメッセージが表示されます:[エラー]ターゲット定義が無効です!
hydra https://api.myapp.app https-form-post "api/account/login:username=^USER^&password=^PASS^:F={\"error:\" \"username \" \"or \" \"password \" \"wrong\"}" -l root -p toor
Hydraコマンドを機能させることはできませんでしたが、パタテーター https://github.com/lanjelot/patator については学習しました。
Patadorコマンド:python patator.py http_fuzz url = https://api.myapp.app/api/login/ method = POST body = 'username = root&password = FILE0 '0 =/home/[辞書ファイル]
誰かがHyrdaのエキスパートである場合でも、私は同じようにHydraを使用する方法を学ぶことに興味があります。おしゃぶりツールは機能しますが、Hydraにあるレート制限やその他の機能がサポートされているかどうかはわかりません。ありがとうございました。