Cuando uso hydra para descifrar la contraseña de un enrutador, muestra que se encontró una contraseña válida, pero muestra la ubicación de mi lista de palabras como la contraseña.
Esa IP no es mía, la obtuve de shodan.io. Quería practicar pero no tengo enrutador.
Tenga en cuenta que intentar atacar un dispositivo aleatorio que encontró en Shodan es muy probable que sea ilegal, y al proporcionar esta respuesta, no condono ni apoyo ninguna actividad ilegal. En su lugar, le sugiero que configure su propio objetivo en una máquina virtual en su lugar; No estoy seguro de por qué necesita un enrutador para esto.
Es probable que haya dos problemas con el uso de Hydra.
Primero, desde la página de manual de Hydra ( man hydra ):
-p PASS o -P FILE
prueba la contraseña PASS, o carga varias contraseñas de ARCHIVO
Usó -p que usa el argumento como contraseña, donde necesita usar -P en lugar de cargar desde un archivo.
En segundo lugar, su elección del módulo http-get puede no ser válida para el objetivo. Al observar el código fuente de Hydra, http-get usará la autenticación básica HTTP de forma predeterminada. Si el servidor web de destino no usa la autenticación básica y devuelve un código de estado HTTP sin error (por ejemplo, 200 OK) cuando Hydra intenta la autenticación, Hydra pensará que la autenticación fue exitosa. También es posible que mientras no exista autenticación en '/', otra ruta lo requiera.
En lugar de la autenticación básica, el destino puede usar algún tipo de inicio de sesión de formulario HTTP, donde los métodos http-{get,post}-form pueden ser más apropiados.
Lea otras preguntas en las etiquetas hydra