Hydra

Discussion in 'Песочница' started by Gandolfini2018, 5 Feb 2019.

  1. Gandolfini2018

    Gandolfini2018 New Member

    Joined:
    5 Feb 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Добрый день!
    У меня вопрос по thc hydra. Искал в инете, но ответа так и не нашёл. Задача простая: брутить пароли на странице. Это я так понял страница с вебформой. Ссылка ниже

    https://www.vodafone.de/shop/authen...dys-tablets-tarife/vertragsverlaengerung.html

    Установил linux, wireshark, zenmap. Не могу понять как настроить всё ,чтобы работало.
    Буду признателен за помощь или ссылку. За подробное решение моей проблемы могу обещать денежное вознаграждение. Спасибо
     
  2. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    220
    Likes Received:
    117
    Reputations:
    13
    Wireshark с Zenmap к подбору паролей Hydra и приведенной Вами ссылке непосредственного отношения не имеет.

    Сначала надо определить, по какой фактически ссылке происходит авторизация, и какие данные передаются.
    Настраиваем связку Firefox + OWASP ZAP (с этим сами справитесь ?), идем на указанную ссылку, имеем авторизационный запрос -

    (заголовок)

    PUT https://www.vodafone.de/api/commerce/authstatus HTTP/1.1
    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
    Accept: application/json
    Accept-Language: en-US,en;q=0.5
    Referer: https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=/scripts/ecommerce.config.auth.json&cancel=/privat/handys-tablets-tarife/vertragsverlaengerung.html
    Content-Type: application/json
    Content-Length: 92
    Connection: keep-alive
    Host: www.vodafone.de

    (тело)

    {"username":"GSM1234567890","authType":"KIAS","password":"1234567890","flow":"TARIFFCHANGE"}

    и ответ

    (заголовок)

    HTTP/1.1 401 401 Unauthorized
    Date: Tue, 05 Feb 2019 12:37:29 GMT
    Server: Apache
    Strict-Transport-Security: max-age=15638400
    Strict-Transport-Security: max-age=10886400; preload
    X-VF-bshoptoken-set: 68A23FD9-09DC-3F0A-F86812BF5B16CF1E
    Vary: User-Agent
    P3P: CP="NOI DSP LAW CURa OUR NOR PUR COM NAV INT STA"
    Content-Type: application/json
    Set-Cookie: a=b
    Set-Cookie: a=b
    Set-Cookie: a=b
    Set-Cookie: a=b
    X-Frame-Options: SAMEORIGIN
    X-Content-Type-Options: nosniff
    Cache-Control: no-cache, must-revalidate
    Pragma: no-cache
    Expires: Thu, 01 Jan 1970 00:00:00 GMT
    Keep-Alive: timeout=35, max=1000
    Connection: Keep-Alive

    (тело)

    {"responseCode":"A.P.401.2","description":"Invalid username or password. Please try again.","_links":{"self":{"href":"/authstatus"}},"cf10":"Y"}

    [​IMG]

    [​IMG]

    т.е. запрос на авторизацию осуществляется методом HTTP PUT (а НЕ GET и НЕ POST, как обычно), а параметры пользователя передаются в формате JSON (и имя пользователя не то, что вводится в соответствующее поле, а с префиксом GSM).

    Еще, обратите внимание, в запрос на авторизацию кроме логина/пароля включаются параметры authType и flow (зависит от того, откуда пришел пользователь - см. Referer - в приведенной ссылке, например, тариф пытаются сменить). Логика работы системы наверняка учитывает эти параметры, и в зависимости от их значений, может работать по-разному.

    Таким образом, Hydra тут вряд ли поможет, нужно перебирать запросы или средствами OWASP ZAP|Burp Suite, или какими-либо самописными скриптами. Скрипты с использованием curl, например, должны обращаться к авторизационной форме примерно таким образом -

    curl -i -H "Accept: application/json" -X PUT -d "ПараметрыJSON" ВашаУязвимаяСсылка

    Если с автоматизацией/скриптингом curl разбираться трудно или лень, модуль HTTP-PUT есть в nmap, можно попробовать его - https://nmap.org/nsedoc/scripts/http-put.html, тогда параметры работы скрипта будут выставляться примерно подобным образом

    nmap -p 80 https://www.vodafone.de/api/commerce/authstatus --script http-put --script-args http-put.url='/tmp/query.json',http-put.file='/tmp/result.json'

    По работе с HTTP PUT есть хороший материал - https://www.smeegesec.com/2014/10/detecting-and-exploiting-http-put-method.html

    P.S.:
    Vodafone - не самая легкая цель для экспериментов, особенно в области brute force.
     
    #2 BillyBons, 5 Feb 2019
    Last edited: 5 Feb 2019
    trabelsi, d0xDog and Turanchocks_ like this.
  3. Gandolfini2018

    Gandolfini2018 New Member

    Joined:
    5 Feb 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Спасибо за развернутый ответ. Картинки не могу открыть почему-то. Я третий день сижу вникаю. Попробую сам дойти до выше изложенного вами. Но если не хватит терпения или мозгов можно ли расчитывать на вашу помощь. Разумеется не безвозмездно. Спасибо.
     
  4. BillyBons

    BillyBons Active Member

    Joined:
    1 Dec 2016
    Messages:
    220
    Likes Received:
    117
    Reputations:
    13
    Картинки -

    http://rgho.st/7j66TKf26
    http://rgho.st/8YXllYtbJ

    Остальное зависит от вопросов и конечной цели ... пишите здесь или в личку, отвечу по возможности.
     
    d0xDog likes this.
  5. PapaRed

    PapaRed Elder - Старейшина

    Joined:
    30 Jun 2010
    Messages:
    23
    Likes Received:
    70
    Reputations:
    26
    По вебформе могу предложить использовать решения с Acunetix
    [​IMG]
    Похожее решение есть у IBM app scan.
    И есть также софт открытый на гитхабе - https://github.com/s0md3v/Blazy - софт также рабочий.
    Если этого мало - пишите, предоставлю ещё деталей.