問題:Hydraが毎回間違ったパスワードを出し続けます。 Hydraを介してブルートフォースを使用して、特定のWebサイトの正しいパスワードを推測しています。
まず、BurpSuiteを使用してページ要求をインターセプトしました。
POST /abcdefg/ HTTP/1.1
Host: localhost:2000
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost:2000/abcdefg/ Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 23
usr=admin&pass=password
コマンドラインに次のパラメーターを使用しています。
hydra -f -v -V 127.0.0.1 -s 2000 http-post-form -l admin -P /documents/pass.txt "/abcdefg/:pass=^PASS^:incorrect password"
ログインページのページソース:
<html>
<head>
<title>Login</title>
</head>
<form action="./" method="post">
username <input type="text" name="usr"></br>
password <input type="password" name="pass"></br>
<input type="submit" value="Submit">
</form>
</html>
「不正なパスワード」ページのページソース:
<html>
<head>
<title>Login</title>
</head>
<br>incorrect password
すべてのパラメーターを確認して、正しいコマンドを使用していることを確認してください。私もこの質問を見ました: 有効なパスワードがないときにHydraが16の有効なパスワードを返すのはなぜですか? これは、ページのCookieを確認することを提案しますが、力を入れようとしているWebページはそうではありませんクッキーを使用しているので、それは関係ないと思いますか?
私は侵入テストを始めたばかりなので、もし皆さんが私を手伝ってくれるならクールです。明確な詳細が欠けているかもしれません:)よろしくお願いします!
すべきではない
"/abcdefg/:pass=^PASS^:incorrect password"
に設定
"/:usr=^USER^&pass=^PASS^:incorrect password"
フォームアクションを<form action="./"
として、ユーザー名を<input type="text" name="usr">
として入力するには、