web-dev-qa-db-ja.com

ハイドラは間違った答えを出します

問題:Hydraが毎回間違ったパスワードを出し続けます。 Hydraを介してブルートフォースを使用して、特定のWebサイトの正しいパスワードを推測しています。

まず、BurpSuiteを使用してページ要求をインターセプトしました。

POST /abcdefg/ HTTP/1.1
Host: localhost:2000 
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost:2000/abcdefg/ Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 23 

usr=admin&pass=password

コマンドラインに次のパラメーターを使用しています。

hydra -f -v -V 127.0.0.1 -s 2000 http-post-form -l admin -P /documents/pass.txt "/abcdefg/:pass=^PASS^:incorrect password"
  1. ホスト=127.0.0.1localhostで試すこともできます)
  2. ポート=2000(私のローカルコンピュータはポート2000でHTTPをリッスンしています)
  3. メソッド=http-post-form
  4. URL =/ abcdefg /
  5. フォームパラメータ=pass = ^ PASS ^
  6. 失敗応答=不正なパスワードsubmitをクリックすると、ページは同じURLでリロードされますが、画面には「不正なパスワード」というテキストのみが表示されます。
  7. ユーザー=admin
  8. パスワードファイル= pass.txt

ログインページのページソース:

<html>
<head>
 <title>Login</title>
</head>
        <form action="./" method="post">
        username <input type="text" name="usr"></br>
        password <input type="password" name="pass"></br>
        <input type="submit" value="Submit">
        </form>
</html>

「不正なパスワード」ページのページソース:

<html>
<head>
 <title>Login</title>
</head>

<br>incorrect password

すべてのパラメーターを確認して、正しいコマンドを使用していることを確認してください。私もこの質問を見ました: 有効なパスワードがないときにHydraが16の有効なパスワードを返すのはなぜですか? これは、ページのCookieを確認することを提案しますが、力を入れようとしているWebページはそうではありませんクッキーを使用しているので、それは関係ないと思いますか?

私は侵入テストを始めたばかりなので、もし皆さんが私を手伝ってくれるならクールです。明確な詳細が欠けているかもしれません:)よろしくお願いします!

4
Salcybercat

すべきではない

"/abcdefg/:pass=^PASS^:incorrect password"に設定

"/:usr=^USER^&pass=^PASS^:incorrect password"

フォームアクションを<form action="./"として、ユーザー名を<input type="text" name="usr">として入力するには、

4
SilverlightFox