Prueba de penetración basada en web que utiliza MD5 para la contraseña

Navega tus respuestas
5

Estoy tratando de penetrar la prueba en un formulario basado en web (que es el formulario de inicio de sesión de MikroTik) con diferentes herramientas para la medición de seguridad.

He intentado THC-Hydra pero el problema es que la contraseña se calcula primero como MD5 y luego se envía al formulario, de esta forma: 

username=USERNAME&password=458871649ad64f39c81ba19be9829c58&dst=&popup=true

Como puede ver, el nombre de usuario se envía como texto simple, pero la contraseña (que se ingresó como PASSWORD aquí como ejemplo) se calcula primero como MD5 y luego se envía al servidor mientras Hydra coloca la contraseña como texto simple.

¿Alguna idea de cómo trabajar con Hydra (o cualquier otra herramienta)?

    
pregunta idn 11.06.2016 - 15:08
fuente

1 respuesta

3

Cuando usa Hydra, normalmente usa -P password_list.txt para especificar las contraseñas de entrada. Simplemente necesitas md5sum esta lista. Considere este script hasher.sh : 

#!/bin/bash
filename="$1"
while read -r line
do
    echo $line | md5sum
done < "$filename"

Ahora puedes hash tu lista de contraseñas originales: ./hasher.sh password_list.txt | cut -d" " -f1 > hashed_passwords.txt

Finalmente, puede usar la hidra contra su objetivo usando esta nueva lista de MD5: hydra -L logins.txt -P hashed_passwords.txt <any other options> <target>

    
respondido por el Jedi 18.06.2016 - 20:09
fuente

Lea otras preguntas en las etiquetas

¿Existe un proceso para identificar las amenazas relacionadas con las implementaciones? ¿Puedo reparar una tarjeta de crédito recortada?