Estoy tratando de descifrar un formulario web simple para probar la hidra en Kali. Cuando la página web encuentra una combinación incorrecta de nombre de usuario y contraseña, aparece un mensaje usando el siguiente código html:
<tr>
<td style="padding: 5px,5px,5px,5px;" colspan="2">
<span id="lblError" style="color:Red;">The username or password you entered is incorrect.</span> <br></br>
</td>
</tr>
Para el ataque de fuerza bruta, estoy usando el siguiente comando:
hydra -l username -p 123 172.22.2.26 http-form-get "/mis/:txt_username=^USER^&txt_password=^PASS^:incorrect"
Pero obtengo una contraseña válida en cualquier combinación de nombre de usuario y contraseñas, lo que sugiere que Hydra no puede detectar la presencia del mensaje de inicio de sesión no válido. ¿Qué debería reemplazar la última parte del comando (es decir, incorrecta ") con ?