Гидра грубая ошибка

1865
Proletariat 
hydra http://192.168.0.24:1234/ http-form-post "/password=^PASS^:Invalid password!" -P pass.txt -t 10 -o hydra-http-post-attack.txt Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.  Hydra (http://www.thc.org/thc-hydra) starting at 2018-01-03 12:12:37 [INFO] Using HTTP Proxy: http://127.0.0.1:8080 [ERROR] the variables argument needs at least the strings ^USER^ or ^PASS^: Invalid password!

Я не уверен, почему я получаю ошибку, поскольку есть ^PASS^строка. В приложении нет имени пользователя.

Полный URL-адрес формы для входа: http://192.168.0.24:1234/

Кто-нибудь может помочь?

0
Похоже, вам нужно прочитать документацию немного больше и перепроверить синтаксис. Например: `" /: password = ^ PASS ^ ` schroeder 6 лет назад 0

1 ответ на вопрос

1
galoget

О вашем вопросе:

  1. При использовании гидры не обязательно ставить http://перед хостом, на которого вы собираетесь атаковать.
  2. Чтобы указать порт, пожалуйста, используйте -sфлаг.
  3. Вам нужно указать -lфлаг, иначе появится ошибка.
  4. В запросе POST вы должны указать файл, который будет получать запрос POST (например, index.php, password.php, validate.php и т. Д.)
  5. И последнее, но не менее важное: вы должны указать «Успешный» или «Неудачный».

Попробуйте следующую команду, это лучшее, что я могу сделать с предоставленной информацией:

hydra -l '' -P pass.txt 192.168.0.24 -s 1234 http-post-form "/index.php:pass=^PASS^:F=Invalid Password!" -t 10 -o hydra-http-post-attack.txt

Я попробовал это сам, и это не генерирует никакой ошибки.

Удачи!

Благодарю. Форма, похоже, нигде не публикуется, поэтому `index.php` был бы неправильным. Это сложное приложение. `


` Proletariat 6 лет назад 0
Он должен POST куда-то, это может означать, что тот же файл имеет форму и проверяет ее, вы должны искать имя этого файла, и тогда все готово, в большинстве случаев главная страница веб-сайта: index.php`, так что вы можете проверить это, если перейдете в `192.168.0.24 / index.php`, если вы получите ту же форму входа в систему, то у вас есть ответ. Также вы можете поделиться более подробной информацией о проблемах, которые могут быть полезны. galoget 6 лет назад 0
Благодарю. Кроме того, `: F` для случая сбоя задокументировано где-нибудь? Я не вижу этого в `-h` инструмента. Proletariat 6 лет назад 0
Здесь вы найдете несколько примеров: [THC-Hydra с формой входа только для пароля] (https://forums.hak5.org/topic/39652-thc-hydra-with-password-only-login-form/) и [Как Использовать ли THC-Hydra с полем формы только для пароля] (https://null-byte.wonderhowto.com/forum/do-use-thc-hydra-with-password-only-form-field-0175294/), не забудьте пометить как решенный вопрос, если предоставленное решение сработало. galoget 6 лет назад 0

Похожие вопросы