He estado tratando de usar la hidra (forma educativa) pero sin éxito. El método del sitio es http-post pero realizado por ajax (¿debería ser un problema? Creo que no). Después de ejecutar el comando obtuve una salida de contraseñas y un nombre de usuario que supuestamente es válido. Vi que algunas personas han preguntado por la razón por la cual la hidra dio contraseñas y nombres de usuario incorrectos y la respuesta fue que el comando debería incluir el PHPSESSID. Así que he intentado usar PHPSESSID pero nada cambia.
el comando:
hydra -L id.txt -P id.txt -s 80 -f 62.239.61.241 http-post-form "/Login/ajax/user-login.php:data=username=^USER^&password=^Pass^&remember=off&returnpath=:Fail :H=Cookie: security=low;PHPSESSID=9adriqaprd8f1qgot3ia1k3"
¿Alguna sugerencia para las contraseñas incorrectas?