Strona 1 z 1
THC hydra, Medusa
: 16 lip 2016, 16:39
autor: Ravor
Witam, w obydwu podanych w tytule programach i pokazuje mi coś takiego
https://zapodaj.net/ffc02f3b84cf5.png.html |
https://zapodaj.net/867fd06f65dae.png.html. Użyłem pliku z loginami i hasłami które sam stworzyłem (inne też nie działały). Próbowałem łamać hasło do własnego routera i do strony z xampp (z DVWA ustawionym na security: low). Komenda z Medusy:
Kod: Zaznacz cały
medusa -h 192.168.1.2 -U login.txt -P password.txt -M http
. Komenda z THC-hydra:
Kod: Zaznacz cały
hydra -L login.txt -P password.txt http-get /
.
Re: THC hydra, Medusa
: 21 lip 2016, 13:57
autor: F3nix
i do strony z xampp
A skąd hydra ma wiedzieć że znalazła hasło lub nie? Takie cuda nie istnieją. Zapomniałeś o parametrze odnalezienia hasła S:= lub F:=. Te parametry mówią programowi THC-Hydra co jest wyświetlane na stronie w przypadku poprawnego lub nieudanego logowania. Pozatym formularze najczęściej idą po http-post a nie GET. Co do routera to ostatnio trochę się one zmieniają i maja nieco inne formularze niż standardowy Basic Auth i trzeba tak jak powyżej napisałem spróbować z parametrem sucess.
Odsyłam tutaj:
thc hydra http.
Re: THC hydra, Medusa
: 22 lip 2016, 10:52
autor: sebosamuraj
Formularz to raczej po http-form-post
Re: THC hydra, Medusa
: 22 lip 2016, 23:12
autor: Kenjin
Sciągawka:
99.99% serwisów używa POSTa jeśli wysyła coś z formularza.
99.99% serwisów używa GETa, jeśli nawiguje wewnątrz strony
99.99% serwisów w odpowiedzi daje 2 rodzaje obiektów:
-data (w celu wygenerowania dynamicznej treści)
-success (tylko w celu potwierdzenia wykonania skryptu po stronie backendu)
Nie znam się na THC Hydra.
Odsyłam do mojego skryptu w dziale skrypty gotowce - > PHP do łamania dowolnych formularzy.