Hydra bruteforce está dando contraseñas incorrectas. ¿Parece que no funciona ninguna ayuda? [cerrado]

Navega tus respuestas
0

Bien, lo que realmente estoy tratando de hacer es imponer mi propia cuenta en algún sitio web solo para comprobarme.

NO es para uso o pasos ilegales, estoy tratando de descifrar mi contraseña PROPIA y estoy tratando de obtener ayuda para ver qué estoy haciendo mal con el software.

la cosa es que, cuando inicio el bruteforce, no reconoce la contraseña real, solo pasa a la siguiente contraseña y al final me da las contraseñas incorrectas para mi nombre de usuario. A veces incluso da como 3 o 4 contraseñas incorrectas, lo que es imposible.

Lo he intentado de 2 maneras, con códigos de terminal en blacktrack (hydra) y también estoy probando con Hydragtk un software listo para la fuerza bruta.

He intentado planty de comandos en modo terminal, este es uno de ellos:

hydra -l admin123 -P / root / Desktop / passwords -S 80 -V 42.65.20.15 http-post-form

pero no importa qué comando use y no importa cuánto cambie, juego y agrego al comando, todavía me da contraseñas incorrectas, ¿alguien puede ayudar, por favor?

    
pregunta ram 15.01.2014 - 16:01
fuente

1 respuesta

4

Dependiendo de la jurisdicción, lo que está haciendo puede ser ilegal, sin embargo, incluso si es "su propia cuenta". Técnicamente, lo que hace es un ataque de diccionario en línea , por lo que implica muchas conexiones con el servidor de destino, lo que difícilmente es el "uso normal y justo" de los recursos de ese servidor. Tiene una cuenta en ese servidor basada en la aceptación tácita (o explícita) de algunas reglas de uso, que rompe su intento de ataque. Para hacer una analogía: si usted alquila una caja de seguridad en un banco, entonces lleve al banco un perforador industrial y comience a perforar la puerta de la caja de seguridad, los bancos pueden llamar a la policía, incluso si esa es "su" caja de seguridad. p>

Por lo tanto, se recomienda precaución. Para realizar pruebas sin incurrir en ningún inconveniente legal, le sugiero que ejecute su propio servidor como una máquina virtual en su propia PC.

En cualquier caso, lo que THC-HYDRA hace es que envía posibles parejas de inicio de sesión + contraseña a una Web determinada servidor a través de solicitudes POST - y debe ser capaz de determinar si el intento tuvo éxito o no. En el nivel HTTP, el código de respuesta siempre será un 200 (un código "OK") (esa es la diferencia entre "Autenticación básica HTTP" y "Autenticación basada en formulario HTTP"); la herramienta debe "entender" de alguna manera la página web devuelta, lo que necesariamente implica un análisis heurístico (la página web que dice "contraseña perdida" está destinada a un ser humano , no a una máquina). Supongo que cualquier heurística aplicada de forma predeterminada por Hydra no funciona bien (o no funciona) para el sitio al que se dirige. Tal vez después de una docena de intentos, el sitio devuelve otra página de error (ya no es "la contraseña lo siento, está mal", sino algo como "begone, hacker malvado") que Hydra interpreta erróneamente en un informe de éxito. Esto explicaría lo que observa (se devolvieron contraseñas incorrectas).

Si el cuadro de diálogo con el servidor utiliza HTTP simple (no HTTPS), puede observar las solicitudes y respuestas con una herramienta de monitor de red como Wireshark. De lo contrario, consulte la documentación de Hydra para ver cómo configurarlo para el reconocimiento de respuestas.

    
respondido por el Tom Leek 15.01.2014 - 19:25
fuente

Lea otras preguntas en las etiquetas

¿Cómo agrega una CA los nombres de dominio www y raw a mi certificado cuando mi CSR no los tiene? ¿Restringir la solicitud solo a la aplicación de Android y Iphone?