Hydra da respuestas incorrectas

Navega tus respuestas
2

Problema: Hydra siempre me da contraseñas incorrectas cada vez. Estoy utilizando la fuerza bruta a través de Hydra para adivinar la contraseña correcta en un sitio web determinado.

Primero que todo, utilicé BurpSuite para interceptar la solicitud de la página: 

POST /abcdefg/ HTTP/1.1
Host: localhost:2000 
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost:2000/abcdefg/ Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 23 

usr=admin&pass=password

Estoy usando estos parámetros para la línea de comandos: 

hydra -f -v -V 127.0.0.1 -s 2000 http-post-form -l admin -P /documents/pass.txt "/abcdefg/:pass=^PASS^:incorrect password"
  1. Host = 127.0.0.1 (Sé que también puedo probar con localhost )
  2. Puerto = 2000 (Mi computadora local está escuchando HTTP en el puerto 2000)
  3. Método = enlace
  4. URL = / abcdefg /
  5. Parámetros de formulario = pass = ^ PASS ^
  6. Respuesta de error = contraseña incorrecta . Cuando hago clic en enviar , la página se vuelve a cargar con la misma URL, pero solo con el texto 'contraseña incorrecta' en la pantalla.
  7. Usuario = administrador
  8. archivo de contraseña = pass.txt

La fuente de la página de inicio de sesión: 

<html>
<head>
 <title>Login</title>
</head>
        <form action="./" method="post">
        username <input type="text" name="usr"></br>
        password <input type="password" name="pass"></br>
        <input type="submit" value="Submit">
        </form>
</html>

La fuente de la página de la 'contraseña incorrecta': 

<html>
<head>
 <title>Login</title>
</head>

<br>incorrect password

Por favor, eche un vistazo a todos los parámetros para asegurarse de que estoy usando los comandos correctos. También he echado un vistazo a esta pregunta: ¿Por qué Hydra devuelve 16 contraseñas válidas cuando ninguna es válida? lo que sugiere revisar las cookies de la página, pero la página web en la que estoy tratando de usar la fuerza bruta no usa cookies, por lo que creo que es irrelevante?

Estoy empezando las pruebas de penetración, así que sería genial si ustedes me pueden ayudar. Es posible que me falten detalles obvios :) ¡Gracias de antemano!

    
pregunta Salcybercat 25.11.2013 - 12:52
fuente

1 respuesta

2

No debería

"/abcdefg/:pass=^PASS^:incorrect password"  estar configurado a

"/:usr=^USER^&pass=^PASS^:incorrect password"

para que coincida con la acción del formulario como <form action="./" y la entrada del nombre de usuario como <input type="text" name="usr"> ?

    
respondido por el SilverlightFox 25.11.2013 - 14:07
fuente

Lea otras preguntas en las etiquetas

¿Cuánto valen 0-días? [cerrado] ¿Limita el nmap las sondas cuando se utiliza la limitación de tiempo en las exploraciones de señuelos?