如何在 Hydra 中获取和使用不断变化的 cookie JSESSIONID 值?

信息安全 密码 渗透测试 蛮力 kali-linux 九头蛇
2021-08-14 14:24:32

相关:如何从 aspx 站点获取 cookie 以将其与 hydra 一起使用

我的问题与上述情况类似,我得到“找到 20 个有效密码”,但我试图暴力破解的服务器在每个响应中发送标头 set-cookie: JSESSINOID=XXXXXXXXXX,所以下一个请求的 JSESSIONID 是每次都不一样。有没有办法解决这个问题?

我的语法: 

hydra XX.XXX.XX.XX -l admin -P pwlist.txt http-post-form “/Path/to/page.do:method=LoginAction&formName=loginform&pageType=1&userName=^USER^&password=^PASS^:Please enter valid User name and Password.:H=Cookie: JSESSIONID=XXXXXxxxxxXXXXXX”

谢谢你的帮助。

1个回答

您可以将会话 ID 保留在 python 代理中的变量中的 http 响应中,也可以使用 http 请求发送此会话密钥。

https://forums.kali.org/showthread.php?18055-Hydra-using-Proxy https://null-byte.wonderhowto.com/how-to/sploit-make-proxy-server-python-0161232/

在此处输入图像描述

其它你可能感兴趣的问题
上一篇获得权限升级但没有使用 Metasploit 的权限 下一篇如何计算远程攻击的蛮力时间/可行性以包括并行性?