Hydra http-post 蛮力成功

信息安全 九头蛇
2021-09-04 04:36:45

我的语法有问题,为了测试和报告目的而在服务器上强制使用我自己的帐户,以保护手头的其他社区。

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:F=Invalid"

我已经为 Firefox 使用了“FireForce”插件,并成功地从我的桌面上的 +-20 左右的单词列表中获取了密码。然而,我现在想移到一个大的词表,但我在这样做时遇到了问题。我附上了我的 Hydra 代码、拦截代码以及成功登录和登录失败的结果的屏幕截图。有人可以对此进行检查并提供有关此问题的反馈吗?

*注意:在 FireForce 中,我的失败消息应该是我必须重新引用登录页面的 URL 才能将其作为失败的尝试来获取。如果页面通过了蛮力测试,页面似乎会自行重定向。如果需要,可以亲自提供有关我的用户名/密码的详细信息。

在使用 Fireforce 或手动测试时,我使用的表单似乎可以无限重试,并且永远不会超时或阻止我的请求。

成功的尝试

文件中带有密码的 Hydra 结果

1个回答

我使用 Wireshark 监控了 Hydra 通过网络发送的响应,我的语法开始工作了。唯一的问题是,即使使用用户名和密码成功访问该页面,该页面仍保留在同一页面上(302 重定向以获得正确的组合)然后我编辑了我的成功字符串以查找“302”而不是“注销”或其他内容用户会看到。这意味着我对这个问题的最终答案如下:

hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:S=302"
其它你可能感兴趣的问题
上一篇在 Ephemeral Diffie Hellman Key Exchange 中 - 实际上什么是短暂的? 下一篇Authy:多设备模式是否意味着所有密钥都存储在他们的服务器上?