Hydra

Discussion in 'Песочница' started by Gandolfini2018, 5 Feb 2019.

  1. Gandolfini2018

    Gandolfini2018 New Member

    Joined:
    5 Feb 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Добрый день!
    У меня вопрос по thc hydra. Искал в инете, но ответа так и не нашёл. Задача простая: брутить пароли на странице. Это я так понял страница с вебформой. Ссылка ниже

    https://www.vodafone.de/shop/authen...dys-tablets-tarife/vertragsverlaengerung.html

    Установил linux, wireshark, zenmap. Не могу понять как настроить всё ,чтобы работало.
    Буду признателен за помощь или ссылку. За подробное решение моей проблемы могу обещать денежное вознаграждение. Спасибо
     
    #1 Gandolfini2018, 5 Feb 2019
  2. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    221
    Likes Received:
    119
    Reputations:
    13
    Wireshark с Zenmap к подбору паролей Hydra и приведенной Вами ссылке непосредственного отношения не имеет.

    Сначала надо определить, по какой фактически ссылке происходит авторизация, и какие данные передаются.
    Настраиваем связку Firefox + OWASP ZAP (с этим сами справитесь ?), идем на указанную ссылку, имеем авторизационный запрос -

    (заголовок)

    PUT https://www.vodafone.de/api/commerce/authstatus HTTP/1.1
    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
    Accept: application/json
    Accept-Language: en-US,en;q=0.5
    Referer: https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=/scripts/ecommerce.config.auth.json&cancel=/privat/handys-tablets-tarife/vertragsverlaengerung.html
    Content-Type: application/json
    Content-Length: 92
    Connection: keep-alive
    Host: www.vodafone.de

    (тело)

    {"username":"GSM1234567890","authType":"KIAS","password":"1234567890","flow":"TARIFFCHANGE"}

    и ответ

    (заголовок)

    HTTP/1.1 401 401 Unauthorized
    Date: Tue, 05 Feb 2019 12:37:29 GMT
    Server: Apache
    Strict-Transport-Security: max-age=15638400
    Strict-Transport-Security: max-age=10886400; preload
    X-VF-bshoptoken-set: 68A23FD9-09DC-3F0A-F86812BF5B16CF1E
    Vary: User-Agent
    P3P: CP="NOI DSP LAW CURa OUR NOR PUR COM NAV INT STA"
    Content-Type: application/json
    Set-Cookie: a=b
    Set-Cookie: a=b
    Set-Cookie: a=b
    Set-Cookie: a=b
    X-Frame-Options: SAMEORIGIN
    X-Content-Type-Options: nosniff
    Cache-Control: no-cache, must-revalidate
    Pragma: no-cache
    Expires: Thu, 01 Jan 1970 00:00:00 GMT
    Keep-Alive: timeout=35, max=1000
    Connection: Keep-Alive

    (тело)

    {"responseCode":"A.P.401.2","description":"Invalid username or password. Please try again.","_links":{"self":{"href":"/authstatus"}},"cf10":"Y"}

    [​IMG]

    [​IMG]

    т.е. запрос на авторизацию осуществляется методом HTTP PUT (а НЕ GET и НЕ POST, как обычно), а параметры пользователя передаются в формате JSON (и имя пользователя не то, что вводится в соответствующее поле, а с префиксом GSM).

    Еще, обратите внимание, в запрос на авторизацию кроме логина/пароля включаются параметры authType и flow (зависит от того, откуда пришел пользователь - см. Referer - в приведенной ссылке, например, тариф пытаются сменить). Логика работы системы наверняка учитывает эти параметры, и в зависимости от их значений, может работать по-разному.

    Таким образом, Hydra тут вряд ли поможет, нужно перебирать запросы или средствами OWASP ZAP|Burp Suite, или какими-либо самописными скриптами. Скрипты с использованием curl, например, должны обращаться к авторизационной форме примерно таким образом -

    curl -i -H "Accept: application/json" -X PUT -d "ПараметрыJSON" ВашаУязвимаяСсылка

    Если с автоматизацией/скриптингом curl разбираться трудно или лень, модуль HTTP-PUT есть в nmap, можно попробовать его - https://nmap.org/nsedoc/scripts/http-put.html, тогда параметры работы скрипта будут выставляться примерно подобным образом

    nmap -p 80 https://www.vodafone.de/api/commerce/authstatus --script http-put --script-args http-put.url='/tmp/query.json',http-put.file='/tmp/result.json'

    По работе с HTTP PUT есть хороший материал - https://www.smeegesec.com/2014/10/detecting-and-exploiting-http-put-method.html

    P.S.:
    Vodafone - не самая легкая цель для экспериментов, особенно в области brute force.
     
    #2 BillyBons, 5 Feb 2019
    Last edited: 5 Feb 2019
    trabelsi, d0xDog and Turanchocks_ like this.
  3. Gandolfini2018

    Gandolfini2018 New Member

    Joined:
    5 Feb 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Спасибо за развернутый ответ. Картинки не могу открыть почему-то. Я третий день сижу вникаю. Попробую сам дойти до выше изложенного вами. Но если не хватит терпения или мозгов можно ли расчитывать на вашу помощь. Разумеется не безвозмездно. Спасибо.
     
    #3 Gandolfini2018, 5 Feb 2019
  4. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    221
    Likes Received:
    119
    Reputations:
    13
    Картинки -

    http://rgho.st/7j66TKf26
    http://rgho.st/8YXllYtbJ

    Остальное зависит от вопросов и конечной цели ... пишите здесь или в личку, отвечу по возможности.
     
    #4 BillyBons, 5 Feb 2019
    d0xDog likes this.
  5. PapaRed

    PapaRed Elder - Старейшина

    Joined:
    30 Jun 2010
    Messages:
    23
    Likes Received:
    70
    Reputations:
    26
    По вебформе могу предложить использовать решения с Acunetix
    [​IMG]
    Похожее решение есть у IBM app scan.
    И есть также софт открытый на гитхабе - https://github.com/s0md3v/Blazy - софт также рабочий.
    Если этого мало - пишите, предоставлю ещё деталей.
     
    #5 PapaRed, 9 Feb 2019
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.