THC HydraでTwitterをパスワード解読
THC Hydraを使用してTwitterアカウントのパスワードをクラックしようと思っていますが、なんらかの構文エラーが発生しています。ここに私が持っているものがあります:
hydra -l [email protected] -P passphrase.txt -s 80 -f https://Twitter.com https-post-form "/session:%5Busername_or_email%[email protected]&session%5Bpassword%5D=^PASS^:did not match"
「passphrase.txt」ファイルには、正しいパスワードが1つだけ含まれています。ただし、引数エラーが発生します。
[ERROR] the variables argument needs at least the strings ^USER^ or ^PASS^: (null) Segmentation Fault
変数を引数としてコマンドに渡すには、他にどのようにすればよいですか? http-post-form変数の設定はTwitterに対して正しいですか?それがUSER変数とPASS変数に適切な文字列であるかどうかは正確にはわかりません。
ありがとうございました。
あなたがどのようにしてTwitterを強引に強引に押しているのかわかりませんただし、URIからhttpを削除することもできます。これにより、segfaultエラーが修正されました。予期しない構文によってトリガーされる可能性があります。
また、貼り付けたエラーメッセージで指定されている必要な^USER^パラメータを指定していないようです。あなたがそれを総当たり的にしようと試みていなくても、それはそこになければなりません。次に、-lまたは-Lを使用して、試行するユーザー名のスコープを指定します。
また、Hydraの適切な構文に関するオンラインでの回答の多くは異なるバージョンに基づいていますが、有効な構文はバージョン間で変更されています。男性(man hydra)をチェックして、確実に機能するものを取得します。 manページには、さまざまなサービスの-Uオプションがあり、そのサービスの適切な使用法を説明していることが示されています。 hydra -U http-post-formは、http-postメソッドのブルートパラメータを提供する方法を示しています。
私は現在のバージョンのKali Rolling(2017年1月)に付属しているバージョン8.2を使用しており、このコマンドは機能します。
hydra -P /var/www/html/cewl10.x.x.x -l admin 10.x.x.x http-post-form "/otrs/xxx.pl:User=^USER^&Password=^PASS^:username" -V
何か不足していますか、それとも^ USER ^がURLに不足していますか?電子メールをハードコーディングする必要はありません。[email protected]コマンドラインパラメータで指定します。