Título: Problemas con Hydra Publicado por: Nobody12 en 24 Octubre 2011, 13:45 pm Hola.
Resulta que el hydra no me funciona cuando trato de obtener el user y la pass de páginas web en las que estoy registrado. Sí me ha funcionado con mi router. Éste es el comando que utilizo: hydra "web" -L /home/user/logins.lst -P /home/user/passwords.lst -v -t 1 -e ns -f -V http-post-form "/login.phtml:user=^USER^&pass=^PASS^:Invalid user or password" Los diccionarios están bien, y lo de "user" y "pass" es lo que pone en el código fuente de la página. Cuando comprueba el user y el pass válidos pasa de ellos como si fueran falsos y sigue comprobando los demás que hay en el diccionario. Y una pregunta: ¿Hace falta indicar la String que aparece cuando ingresas mal los datos? Un saludo. Título: Re: Problemas con Hydra Publicado por: adastra en 24 Octubre 2011, 14:12 pm El mensaje de error es normal, indica simplemente que ha intentado con dicho par de usuario/clave y el servicio te ha dicho: "Eso no me gusta" y ya esta, seguro que el mensaje lo vas a ver muchas veces durante la ejecución, creo que el comando deberia ser este:
hydra -L /home/user/logins.lst -P /home/user/passwords.lst -vV -t 1 -e ns -f http-post-form "/login.phtml" No entiendo la razón de poner "web" probablemente ese es un error, luego, no tienes que poner el formato de la petición con "user=xxxx&pass=xxxx" eso ya lo crea Hydra si hace falta. Título: Re: Problemas con Hydra Publicado por: Nobody12 en 24 Octubre 2011, 14:19 pm Pero, ¿en tu comando no te falta la página web?
Acabo de probarlo y sigue sin ir. Lo de "web" es la web de la que intento obtener los credenciales. Gracias por contestar. Título: Re: Problemas con Hydra Publicado por: adastra en 24 Octubre 2011, 15:10 pm Ah vale!
que la ruta que va entre comillas dobles es el resultado de la ejecución... has intentado en lugar de ejecutar http-post-form establecer "http-get"? Lo pregunto porque parece que la información esta viajando por GET no por POST. Intentalo de ese modo a ver que pasa... Título: Re: Problemas con Hydra Publicado por: Nobody12 en 24 Octubre 2011, 15:48 pm Sí jeje, lo he probado también con http-get, y de ese modo me sale siempre que el "vaid pair" es "" y "", o sea no poner ni user ni pass...
A ver si centrándonos en una página en concreto (llamémosla "prueba.com") puedo solucionar el problema y luego ya lo aplicaré a las demás webs. Mira, cuando intentas loguearte en "prueba.com" te manda a "prueba.com/login.phtml", aunque también puedes hacerlo desde el index. Ésto sería la parte del código fuente que interesa: Código
Y entonces el comando que pongo: hydra www.prueba.com -L /home/user/logins.lst -P /home/user/passwords.lst -v -t 1 -e ns -f -V http-post-form "/login.phtml:login=^USER^&pass=^PASS^" Pero como dije anteriormente no te da los credenciales correctos. |