Estoy intentando "hackear" (iniciar sesión) en mi propia cuenta del sitio web HTTPS a través de Hydra. Por lo tanto, es 100% legal. Hydra sigue produciendo toneladas de contraseñas incorrectas.
Este es el código que uso:
hydra -v -V -l XXXXXX -x 6:6:a1 -f -v example.com http-get /user/login.php
¿Alguien puede ayudar?
Supongo que está tratando de forzar un formulario de inicio de sesión, a veces con Hydra Cli tiene que jugar con él editando el número de subprocesos, etc. Este es un buen tutorial que explica todos los métodos GET / POST, así como usar la hidra en el ataque de fuerza bruta y lanzar un ataque de diccionario.
También debe proporcionar una condición de contraseña buena / contraseña incorrecta, que se denominan tokens como ^ USER ^ y ^ PASS ^ en la URL donde deben ser reemplazados por los nombres de usuario y las contraseñas en prueba. El segundo se realiza mediante hydra mediante la coincidencia de cadenas en la página devuelta. Puede probar una condición de falla, como "Contraseña incorrecta", o una condición de éxito, como "iniciar sesión". Si no proporciona las condiciones, ¿cómo sabe Hydra qué combinación de nombre de usuario y contraseña es la correcta? Debe informar a Hydra lo que significa iniciar sesión correctamente y sin éxito, cada sitio web es diferente, como "Contraseña incorrecta" "Iniciar sesión incorrecta" Inténtelo de nuevo ". Aquí hay un ejemplo de línea de comando muy simple: hydra 127.0.0.1 http-form-get '/login.php?username=^USER^&password=^PASS^:Bad password'
PS: También a veces, debido a la gran cantidad de subprocesos que la página no tiene tiempo de cargar, lo que da falsos positivos siempre intenta disminuir el número de subprocesos.
Espero que ayude.
Lo que hace THC-HYDRA es que envía posibles pares de inicio de sesión y contraseña a un servidor web determinado mediante solicitudes POST, y debe poder determinar si el intento tuvo éxito o no. En el nivel HTTP, el código de respuesta siempre será un 200 (un código "OK") (esa es la diferencia entre "Autenticación básica HTTP" y "Autenticación basada en formulario HTTP"); la herramienta debe "entender" de alguna manera la página web devuelta, lo que necesariamente implica un análisis heurístico (la página web que dice "contraseña perdida" está destinada a un ser humano, no a una máquina). Supongo que cualquier heurística aplicada de forma predeterminada por Hydra no funciona bien (o no funciona) para el sitio al que se dirige. Tal vez después de una docena de intentos, el sitio devuelve otra página de error (ya no es "contraseña perdida, mala, sino algo así como" pirata informático malvado "”) que Hydra malinterpreta en un informe de éxito. Esto explicaría lo que observa (se devolvieron contraseñas incorrectas).
Si el cuadro de diálogo con el servidor utiliza HTTP simple (no HTTPS), puede observar las solicitudes y respuestas con una herramienta de monitor de red como Wireshark. De lo contrario, consulte la documentación de Hydra para ver cómo configurarlo para el reconocimiento de respuestas.
Lea otras preguntas en las etiquetas brute-force hydra