Hydra.Брут post авторизации

• Для авторизации используется html форма, которая отправляет по адресу http://циферки/ISAPI/Security/sessionLogin?timeStamp=1533908577014 методом POST запрос вида <SessionLogin><userName>LOGIN</userName><password>16366309c2ca058a513678fa84bd25545d73c3d72a935e4e69f7d8ad2ee314c2</password><sessionID>ab9d4f038a41b6e17205</sessionID></SessionLogin>: что это за форма запроса? где здесь пароль ?(вот такую форму я понимаю username=root&password=test_passw0rd

 

XML

на своём месте
просто в качестве пароля - api токен

 

Как можно пароль подобрать ? логин идёт же по post форме а пароль по XML ? И как пароль тогда подобрать?

 

в бурпсуите перехвати запрос и посмотри. можешь им же и побрутить потом интрудером. пароль судя по всему в sha256 у тебя шифруется перед отправкой. а вообще в гугле вроде на гитхабе лежит сорц движка твоего, посмотри исходники

 

Всмысли (сорц движка твоего)просто плохо понимаю(распиши по подробнее )