Contraseña que agrieta a Twitter con THC Hydra

Navega tus respuestas
4

Estoy buscando una contraseña para descifrar mi cuenta de twitter usando THC Hydra pero me estoy topando con algún tipo de error de sintaxis. Aquí está lo que tengo: 

hydra -l [email protected] -P passphrase.txt -s 80 -f https://twitter.com https-post-form "/session:%5Busername_or_email%[email protected]&session%5Bpassword%5D=^PASS^:did not match"

El archivo "passphrase.txt" contiene solo 1 contraseña, que es la correcta. Sin embargo, estoy recibiendo un error de argumento: 

[ERROR] the variables argument needs at least the strings ^USER^ or ^PASS^: (null) Segmentation Fault

¿De qué otra forma necesito pasar las variables como un argumento al comando? ¿Es correcta la configuración de la variable http-post-form para twitter? No estoy exactamente seguro de si es la cadena correcta para las variables USER y PASS.

Gracias.

    
pregunta Travis Patron 01.09.2016 - 22:28
fuente

2 respuestas

2

No estoy seguro de cómo estás legalmente brutal forzando a Twitter. Pero podrías intentar quitar el http de la URI. Eso solucionó los errores de seguridad para mí. Parece que puede activarse por una sintaxis inesperada.

También parece que no está suministrando el parámetro ^USER^ necesario como se especifica en el mensaje de error que pegó. Debe estar allí, incluso si no estás tratando de forzarla. A continuación, especificará con -l o -L el alcance de los nombres de usuario para intentarlo.

También muchas de las respuestas en línea para la sintaxis correcta de Hydra se basan en versiones diferentes, pero la sintaxis válida está cambiando entre versiones. Verifique el hombre ( man hydra ) para obtener lo que funciona con seguridad. En la página del manual, se muestra que hay una opción -U para diferentes servicios que describe el uso adecuado de ese servicio, por ejemplo. hydra -U http-post-form muestra cómo suministrar los parámetros brutos del método http-post.

Estoy en la versión 8.2 que viene con la versión actual de Kali Rolling (enero de 2017) y este comando funciona: 

hydra -P /var/www/html/cewl10.x.x.x -l admin 10.x.x.x http-post-form "/otrs/xxx.pl:User=^USER^&Password=^PASS^:username" -V
    
respondido por el Info5ek 13.01.2017 - 08:44
fuente
0

¿Me estoy perdiendo algo o falta el ^ USUARIO ^ en su URL? No necesita codificar su correo electrónico, especifíquelo en el parámetro de línea de comando -l [email protected].

    
respondido por el kaidentity 02.09.2016 - 14:06
fuente

Lea otras preguntas en las etiquetas

¿Por qué un atacante incluiría un cuerpo de solicitud con una solicitud GET de HTTP? ¿Qué debo intercambiar con el servidor cuando genero mi clave AES 256?