Estoy ejecutando Hydra contra una máquina virtual vulnerable que se ejecuta en mi propio servidor. Estoy intentando encontrar la contraseña para el nombre de usuario "admin".
Este es el comando que ejecuté:
hydra -vV -l admin -P /root/Documents/000webhost.txt 10.0.2.10 http-post-form '/wordpress/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In:F=is incorrect'
Después de correr un tiempo, recibí este mensaje:
[80][http-post-form] host: 10.0.2.10 login: admin
[STATUS] attack finished for 10.0.2.10 (waiting for children to complete tests)
1 of 1 target successfully completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2017-12-27 18:12:43
Dice que encontró la contraseña, pero no muestra esa contraseña.
Por lo general, la contraseña se muestra en la línea que también dice "login: admin".
¿Alguna idea de qué está pasando? Gracias.
EDIT
Costo haber encontrado el problema. Hay una línea / contraseña vacía (es decir, "") en el archivo. Esta contraseña vacía se muestra como intentada 19 líneas antes de la salida del "resultado":
[ATTEMPT] target 10.0.2.10 - login "admin" - pass "" - 15067 of 720303 [child 10] (0/0)
Ingresé el "" como la contraseña directamente en la aplicación web de destino y la respuesta que da es diferente de "es incorrecta", lo que provoca el falso positivo. Lo que es extraño es que Hydra no lo emite.
Creé un archivo de contraseñas más pequeño con una línea vacía y el problema se repitió. Luego eliminé la línea vacía del archivo y volví a ejecutar Hydra, esta vez sin obtener el falso positivo.
Gracias de nuevo.