Encontré un formulario en una página en donde se pide un nombre de usuario y una contraseña para acceder al panel de administración. Cuando coloco un usuario cualquiera y una contraseña cualquiera (o en blanco), me muestra el siguiente error:


        Cuando coloco como usuario "admin" y una contraseña cualquiera, recibo el siguiente error:


        Dada las circunstancias, me he dado cuenta de que me han confirmado de que el usuario "admin" existe y que solo necesito la contraseña para ingresar. Puedo realizar intentos ilimitados sin que el sistema me bloquee, por lo que había pensado en un ataque por fuerza bruta o con diccionario.
        Mi dilema es que al ingresar el usuario y contraseña de forma manual (http://www.sitio.com/intranet/comprobar.php?user=admin&pass=cualquiera), me responde como si el usuario no existiera. El código en donde se encuentra el formulario está a continuación.



        Gracias por cualquier idea o sugerencia que me puedan entregar.

antes de crackear un formulario de acceso debes saber un poco sobre el protocolo HTTP, o instala live headers en firefox y ponte a ver como viajan los paquetes cuando navegas y envías formularios.

Como dice shellroot una cosa es pasar las variables en la url y otra cosa es pasar las variables via post, otra cosa es pasarlos cifrados con multipart data, otra cosa es hacer un trace, otra cosa es evitar los tokens y hacer csrf para crackear como en cpanel, otra cosa es capturar cookies, enviar sesiones, interpretar headers, etc etc etc.

Si lo único que quieres es hacer click en algo y que te haga todo solo busca el hydra o brutus o brainscann, de otra manera tendrás que usar un bat + wget o bat + netcat o algún proyecto en algún lenguaje como php, perl, vb, c++, etc etc.

Yo en lo personal una sola ves tube que hacer eso para pasar un game en el warzone y lo hize con sockets en visual b.