Использование Hydra для попытки атаки методом грубой силы на моей странице входа не работает

Я только учусь тому, как использовать Hydra для атак методом перебора, и пытаюсь проверить на странице входа, которую я создал для старого сайта. Иногда я могу заставить Hydra запустить и предпринять попытку атаки, но она никогда не срабатывает, даже если я ввожу правильный пароль в своем файле password.txt. Любой совет о том, почему мой код не будет работать правильно, был бы великолепен. Я думал, что у меня это было правильно, но я думаю, что нет.

Вот вещи, которые я думаю, могут быть проблемой, но я не могу понять, являются ли они или нет.

  • форма авторизации отправьте себе сообщение для проверки учетных данных
  • если pw не прав, он выводит Ой, Неверное имя пользователя или пароль! (и я получаю проблемы, если я использую всю эту строку в моей команде)
  • может быть, я не рута в правильное место для моей атаки

Также следует отметить, что сайт сейчас находится в подкаталоге моего сайта. Кроме того, для входа используется только MD5, который я включил как строку пароля, так и версию пароля MD5 в мой файл password.txt.

Вот моя команда:

гидра 69.57.9.2 http-form-post «/john_smith_blog/admin_login/index.php:username=^USER^&пароль = ^ PASS ^: Упс »-l ДжонСмит -P пароль.txt -t 10 -w 30 -o гидра-http-post-attack.txt

Вот данные поста от wireshark

POST /john_smith/admin_login/index.php HTTP/1.1
Host: DomainNameDotCom
Connection: keep-alive
Content-Length: 359
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: DomainNameDotCom
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3vaAYMlCejOUFLH5
Referer: DomainNameDotCom/john_smith/admin_login/index.php
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.8,nb;q=0.6
Cookie: __utmz=237398355.1442340459.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=237398355.593524857.1442328243.1442340459.1445019147.2; __unam=7639673-14fd22d2da8-49c4842-202; PHPSESSID=npth83ho7cg7di5bps0qtlm1i7; _ga=GA1.2.593524857.1442328243

------WebKitFormBoundary3vaAYMlCejOUFLH5
Content-Disposition: form-data; name="username"
JohnSmith
------WebKitFormBoundary3vaAYMlCejOUFLH5
Content-Disposition: form-data; name="password"
JohnSmith94
------WebKitFormBoundary3vaAYMlCejOUFLH5
Content-Disposition: form-data; name="Submit"
Login
------WebKitFormBoundary3vaAYMlCejOUFLH5--
HTTP/1.1 200 OK
Date: Sun, 22 Nov 2015 23:07:43 GMT
Server: Apache
X-Powered-By: PHP/5.3.6
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html

49a
Oops, Wrong Username Or Password!

-2

Решение

Любой совет о том, почему мой код не будет работать правильно, был бы великолепен.

Вы используете THC или вы сделали свою собственную версию Hydra?

THC

Попробуйте обновить свою гидру и, если нет, попробуйте загрузить последнюю версию и дважды проверьте свои параметры.

Собственная версия Hydra

На каком PL вы используете? Попробуйте сделать ваши файлы password.txt в виде массива, и пусть ваши коды будут пытаться использовать массив за последовательностью массивов. И, на мой взгляд, сначала создайте полный файл bruteforce.txt от ‘a’ до ‘zzzzzzzzzzz’.

Лучше сделать так, чтобы другие работали. Просто говорю 🙂

0

Другие решения

Убедитесь, что параметры формы такие же, как при атаке гидры (например, имя пользователя и пароль).

Также имейте в виду, что ваш запрос предназначен для работы с формой запроса POST. Вам может понадобиться добавить туда больше параметров (например, Логин = Логин или что-то в этом роде).

Чтобы убедиться, что было бы лучше, если бы вы установили простой плагин для браузера (например, данные несанкционированного доступа или заголовки), который, сделанный в режиме прослушивания, сможет предоставить вам полный запрос данных поста. Оттуда вы можете просто изменить параметры гидры.

Удачи.

0