Hydra https-form-post [cerrado]

Navega tus respuestas
0

Nunca he experimentado mucho con crackers de contraseñas en línea. Intenté usar Hydra hoy en este sitio web www.athena2.harker.org y sigo obteniendo falsos positivos.

Esto es lo que he hecho hasta ahora:

  • hizo ping al sitio web y obtuvo la dirección IP de 209.23.201.55

  • identificó el tipo de formulario, es un https-form-post 

    <form id="login" method="post" action="https://athena2.harker.org/login/index.php">

  • encontró la respuesta de error: es "Inicio de sesión no válido, inténtelo de nuevo"

  • ejecuta este comando 

    hydra 209.23.201.55 https-form-post "/login/index.php:username=^USER^&password=^PASS^&Login=Login:Invalid login" -l test -p test -t 10 -w 30 -o example.txt

¿Puede alguien decirme qué estoy haciendo mal?

Trabajo en informática para la escuela. Operamos en la plataforma de código abierto Moodle, y un estudiante recientemente obtuvo acceso de administrador, estamos evaluando la fortaleza de las contraseñas que emitimos. (Contraseña de 6 dígitos / minúsculas). No asumas que las personas en este foro atacan objetivos maliciosamente, las pruebas de penetración y la seguridad informática son campos legítimos, pensé que todos aquí estarían al tanto.

    
pregunta Jackson 14.03.2014 - 06:45
fuente

2 respuestas

3

Estás atacando un sistema en vivo, eso es lo que estás haciendo mal.

Por favor deténgase a menos que haya sido contratado explícitamente para romper la seguridad en este servicio (es decir, tiene un contrato de prueba de penetración firmado con los propietarios del servidor).

Editar:

Es bueno que tenga permiso para realizar esta prueba (he visto un número sorprendente de preguntas similares en las que este no es el caso, y los usuarios estarían corriendo un grave riesgo de enjuiciamiento).

Entonces, con la nueva información, su objetivo es probar la fortaleza de las contraseñas con 6 letras minúsculas.

  1. Puedes hacer esto teóricamente. Las permutaciones máximas posibles son 26 ^ 6 = ~ 309 millones. Tome su límite de velocidad de inicio de sesión por unidad de tiempo y luego podrá calcular cuánto tiempo tomaría descifrar una contraseña. Con una aplicación web correctamente configurada, este método no debería nunca funcionar (asumiendo que las contraseñas de administrador son aleatorias).

  2. Puede hacer esto tomando el archivo de contraseña con sal y hash, y Brute forzándolo "fuera de línea". Esto simula con mayor precisión lo que sucedería en un ataque y elimina el riesgo de que atacar el sistema en vivo cause una falla.

respondido por el scuzzy-delta 14.03.2014 - 08:25
fuente
0

Es bastante común que los servidores web no muestren el mismo error después de aproximadamente 20 errores consecutivos, intente buscar los campos de entrada, tienden a estar allí hasta que se inicie sesión correctamente.

    
respondido por el user41982 14.03.2014 - 07:41
fuente

Lea otras preguntas en las etiquetas

¿Por qué el antivirus del host detecta el malware del huésped? Empezando, ¿dónde debería buscar las vulnerabilidades? ¿Grandes sitios de recompensa vs. proyectos más pequeños? [cerrado]