página de inicio de sesión DVWA de fuerza bruta con hidra

Navega tus respuestas
0

Estoy aprendiendo a aplicar fuerza bruta a las páginas de inicio de sesión web con una herramienta popular llamada "Hidra". Estoy usando Kali Linux (VirtualBox) para hacer esto. He instalado DVWA (Damn Vulnerable Web Application) y lo estoy ejecutando localmente.

NOTA: estoy tratando de aplicar fuerza bruta /DVWA/login.php (la página de inicio de sesión de DVWA real) no /DVWA/vulnerabilities/brute/ (desafío de fuerza bruta)

Aquí está la información de Burp Suite 

POST /DVWA/login.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://localhost/DVWA/login.php
Cookie: security=impossible; PHPSESSID=72mh5pvdosgo98nmij6dha4min
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 77

username=e&password=e&Login=Login&user_token=5e093d39eb72145d6b0b2de187340825

Usé Burp Suite para interceptar la solicitud y obtener la información necesaria, con Esa información he construido el siguiente comando:

hydra -l admin -P /usr/share/dirb/wordlists/dvwa.txt localhost http-post-form "/dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed" -V

dvwa.txt es solo un archivo de texto con dos contraseñas: password1 y password (La contraseña correcta para el inicio de sesión es la contraseña). Cuando corrí la hidra volvió con esto: 

Hydra (http://www.thc.org/thc-hydra) starting at 2018-10-06 09:48:12
[DATA] max 2 tasks per 1 server, overall 2 tasks, 2 login tries (l:1/p:2), ~1 try per task
[DATA] attacking http-post-form://localhost:80//dvwa/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed
[ATTEMPT] target localhost - login "admin" - pass "password1" - 1 of 2 [child 0] (0/0)
[ATTEMPT] target localhost - login "admin" - pass "password" - 2 of 2 [child 1] (0/0)
[80][http-post-form] host: localhost   login: admin   password: password
[80][http-post-form] host: localhost   login: admin   password: password1
1 of 1 target successfully completed, 2 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2018-10-06 09:48:13

Este resultado no es preciso, password1 no es una contraseña válida, aunque la contraseña es una contraseña válida. ¿Qué estoy haciendo mal? Modelé mi comando de acuerdo con este sitio web .

¿Me estoy perdiendo algo? Me doy cuenta de que el sitio web anterior no puso a localhost bajo su mando, sino a una IP. Estoy ejecutando DVWA localmente en mi computadora, así que puse localhost. Si pudiera ser lo más claro y detallado posible, ¡sería increíble! Soy nuevo en Hydra, Kali Linux, y fuerza bruta!

    
pregunta CoderPE 06.10.2018 - 20:39
fuente

1 respuesta

0

La comprobación para buscar un inicio de sesión fallido es lo que no funciona.

En el enlace que incluyó, su inicio de sesión fallido incluyó "Error de inicio de sesión" en algún lugar de la respuesta POST. Supongo que cuando no inicies sesión en tu login.php, la cadena "Error de inicio de sesión" no se mostrará en la respuesta. Debe calcular exactamente qué se devuelve en el caso de una respuesta fallida (y actualizar su comando para buscarlo) o seguirá obteniendo estos falsos positivos.

¿Acabas de copiar la última parte del ejemplo? :Login fauled

    
respondido por el Daisetsu 06.10.2018 - 22:02
fuente

Lea otras preguntas en las etiquetas

Omitir canario aleatorio sin sobrescribir ¿Métodos para obtener una cuenta de dominio de Windows, cuando ya no tiene una cuenta de dominio?