J'ai un problème avec ma syntaxe pour forcer mon propre compte sur un serveur à des fins de test et de génération de rapports afin de protéger le reste de la communauté à portée de main.
hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:F=Invalid"
J'ai utilisé le plugin "FireForce" pour Firefox avec un résultat réussi à obtenir le mot de passe à partir d'une liste de mots + -20 ou plus sur mon bureau. Cependant, je voudrais maintenant passer à une grande liste de mots, mais j'ai des problèmes à le faire. J'ai joint des captures d'écran de mon code Hydra, mon code Intercept ainsi que mes résultats pour une connexion réussie et une connexion échouée. Quelqu'un peut-il examiner cela et fournir des commentaires sur cette question?
* Remarque: dans FireForce, où mon message ayant échoué devrait être, je dois re-référencer l'URL vers la page de connexion afin de la prendre comme une tentative ayant échoué. Il semble que la page se redirige si elle a réussi le test de force brute. Des détails sur mon nom d'utilisateur/mot de passe peuvent être fournis personnellement si nécessaire.
Il semble que le formulaire que j'utilise comporte un nombre illimité de tentatives et n'expire ou ne bloque jamais mes demandes lors de l'utilisation de Fireforce ou de tests manuels.
J'ai surveillé les réponses qu'Hydra envoyait sur le réseau avec Wireshark et ma syntaxe fonctionnait pour commencer. Le seul problème est que la page, même avec un accès réussi avec le nom d'utilisateur et le mot de passe, est restée sur la même page (redirection 302 pour un combo correct). J'avais ensuite modifié ma chaîne de succès pour rechercher "302" plutôt que "se déconnecter" ou quelque chose l'utilisateur verrait. Cela signifie que ma réponse finale à ces problèmes est la suivante:
hydra -l username -P /root/Desktop/Test.txt url.zz.za http-post-form "/portal/xlogin/:ed=^USER^&pw=^PASS^:S=302"