¿Cómo habilitar una prueba de penetración de formulario de publicación de http?

Navega tus respuestas
0

No obtengo los resultados correctos y no estoy seguro de lo que estoy haciendo mal: 

$ ./hydra -l admin -x 3:9:a http://localhost http-post-form "/admin/login:j_username=^USER^&j_password=^PASS^:failed" -s 8088             Hydra v7.5 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2014-01-09 11:24:35
[WARNING] The service http has been replaced with http-head and http-get, using by default GET method. Same for https.
[WARNING] You must supply the web page as an additional option or via -m, default path set to /
[DATA] 16 tasks, 1 server, 5646683825432 login tries (l:1/p:5646683825432), ~352917739089 tries per task
[DATA] attacking service http-get on port 80
[ERROR] Child with pid 3320 terminating, can not connect
[ERROR] Child with pid 6620 terminating, can not connect
[ERROR] Child with pid 8496 terminating, can not connect
[ERROR] Child with pid 9260 terminating, can not connect
[ERROR] Child with pid 7440 terminating, can not connect
[ERROR] Child with pid 6012 terminating, can not connect
[ERROR] Child with pid 5368 terminating, can not connect
[ERROR] Child with pid 6228 terminating, can not connect
[ERROR] Child with pid 8104 terminating, can not connect
[ERROR] Child with pid 7644 terminating, can not connect
[ERROR] Child with pid 10152 terminating, can not connect
[ERROR] Child with pid 2484 terminating, can not connect
[ERROR] Child with pid 4788 terminating, can not connect
[ERROR] Child with pid 7948 terminating, can not connect
[ERROR] Child with pid 9040 terminating, can not connect
[ERROR] Child with pid 2648 terminating, can not connect
[ERROR] Child with pid 6116 terminating, can not connect
[ERROR] Child with pid 2684 terminating, can not connect
[ERROR] Too many connect errors to target, disabling http-get://localhost:80
0 of 1 target completed, 0 valid passwords found
[ERROR] 1 target did not resolve or could not be connected
Hydra (http://www.thc.org/thc-hydra) finished at 2014-01-09 11:24:47

¿Puedes decirme qué está mal con mi prueba? Mi formulario en http://localhost:8088/admin/login parece: 

  <form name='f' class="marg-left" id="inputForm" method="post" action="j_spring_security_check" >
                       <br>
                   <h4 class="title">   <h4 class="loginfailed">
                       Login failed</h4>
                   Login</h4>
                   <label>
                       <span>Username</span>
                       <input id="id1" class="textInput" type="text" name="j_username" />
                   </label>
                   <label>
                       <span>Password</span>
                       <input class="textInput" type="password" name="j_password" />
                   </label>
                   <div class="buttons">
                       <button type="submit" >Login</button>
                       <button type="reset" >Reset</button>
                   </div>
                   </form>
    
pregunta Niklas Rosencrantz 09.01.2014 - 11:28
fuente

1 respuesta

1

parece que has puesto la opción de puerto (-s) después de la URL del formulario HTTP Post y, como resultado, Hydra está ignorando esa opción.

Si observa el mensaje de error, puede ver que está intentando conectarse al puerto 80 (el valor predeterminado) 

[ERROR] Too many connect errors to target, disabling http-get://localhost:80

Intentaría mover esa opción -s a una línea anterior de la línea de comandos, probablemente la ordenará.

    
respondido por el Rоry McCune 09.01.2014 - 11:41
fuente

Lea otras preguntas en las etiquetas

Esquema de seguridad de API / cliente de descanso personalizado Si alguien tiene acceso a VPN y a su computadora, ¿hay algún punto en el uso de VPN?