Hydra 说它找到了密码,但没有显示

信息安全 九头蛇
2021-09-10 13:00:48

我正在针对在我自己的服务器上运行的易受攻击的 VM 运行 Hydra。我正在尝试查找“admin”用户名的密码。

这是我运行的命令:

hydra -vV -l admin -P /root/Documents/000webhost.txt 10.0.2.10 http-post-form '/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect'

运行一段时间后,我收到以下消息:

[80][http-post-form] host: 10.0.2.10   login: admin
[STATUS] attack finished for 10.0.2.10 (waiting for children to complete tests)
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2017-12-27 18:12:43

它说它找到了密码,但它没有显示该密码。

通常密码显示在“登录:管理员”的行中。

知道发生了什么吗?谢谢。

编辑

我似乎发现了这个问题。文件中有一个空行/密码(即“”)。此空密码显示为在“结果”输出前 19 行尝试:

[ATTEMPT] target 10.0.2.10 - login "admin" - pass "" - 15067 of 720303 [child 10] (0/0)

我直接在目标网络应用程序中输入“”作为密码,它给出的响应与“不正确”不同,从而导致误报。奇怪的是,Hydra 并没有输出它。

我用一个空行创建了一个较小的密码文件,问题又出现了。然后我从文件中删除了空行并再次运行 Hydra,这次没有得到误报。

再次感谢。

1个回答

我发送给 Hydra 的密码文件包含一个空行(即“”)。当这个值被发送到网络应用程序时,响应是“密码为空”,这与它返回的大多数其他密码以及我发送给 Hydra 的“不正确”不同。

当密码为“0”时也会发生类似的事情,尽管在这种情况下,Hydra 确实会显示尝试的密码。

目前,我从密码文件中删除了这两个条目,这避免了我得到的误报。

如果有人知道告诉 Hydra 支持多个“失败”字符串的方法,请告诉我。谢谢。

其它你可能感兴趣的问题
上一篇谁会更容易注意到数据泄露,我还是在线密码管理器? 下一篇如何改变“默默无闻的安全”文化