কেন হাইড্রা বৈধ সরবরাহকৃত ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ কোনও বৈধ ব্যবহারকারী নাম এবং পাসওয়ার্ড ফেরত দেয় না


0

আমি কেবল মিশ্রিত অবস্থায় ইনস্টল করা ওএসএক্স ইয়োসেমাইটে হাইড্রার চেষ্টা করছি

brew info hydra
hydra: stable 8.0 (bottled), HEAD
https://www.thc.org/thc-hydra/
/usr/local/Cellar/hydra/8.0_1 (14 files, 1.2M) *
  Poured from bottle
From: https://github.com/Homebrew/homebrew/blob/master/Library/Formula/hydra.rb
==> Dependencies
Build: pkg-config ✔
Required: openssl ✔
Optional: libidn ✘, libssh ✘, pcre ✔, gtk+ ✘
==> Options
--with-gtk+
    Build with gtk+ support
--with-libidn
    Build with libidn support
--with-libssh
    Build with libssh support
--with-pcre
    Build with pcre support
--HEAD
    install HEAD version

এইচটিএমএল ফর্ম পোস্ট পরীক্ষা করতে, এটি এই ক্ষেত্রে।

আমার পিএইচপি ফাইলটি 'ইন্ডেক্স.এফপি' নামে অ্যাপাচি ওয়েব সার্ভারের সাথে চলছে running

<?php

$login = 'admin';
$password = 'r00t';

?>

<html>
<head>
    <title>PHP Form Auth</title>
</head>
<body>
    <?php

    if (isset($_POST['go_field']))
    {
        if ($_POST['login_field'] == $login && $_POST['password_field'] == $password)
        {
            echo 'Logged in';
        }
        else
        {
            echo 'Error';
        }
    }
    else
    {
    ?>
        <form method="POST">
            <input type="text" name="login_field" /> Login <br />
            <input type="password" name="password_field" /> Password <br />
            <input type="submit" name="go_field" value="Login" />
        </form>
    <?php
    }
    ?>
</body>

এটি আমার মেশিনে চলছে that

http://localhost/security/3/php/index.php

মূলত, এটি একটি এইচটিএমএল ফর্ম যা লগইন সফল হলে 'লগ ইন' স্ট্রিংটি প্রিন্ট করে, অন্যথায় এটি 'ত্রুটি' স্ট্রিংটি প্রিন্ট করে।

আমি ব্যবহারকারী: অ্যাডমিন পাসওয়ার্ড: ব্রাউজারে r00t ব্যবহার করে পরীক্ষা করেছি, এটি 'লগ ইন হয়েছে' বলেছে। এবং আমি ব্যর্থ শংসাপত্র ব্যবহার করি, এটি বলেছিল 'ত্রুটি'

তবে হাইড্রার সাহায্যে চেষ্টা করেছি:

hydra -l admin -p r00t localhost http-post-form "/security/3/php/index.php:login_field=^USER^&password_field=^PASS^&go_field=Login:Error"

আমি এই আউটপুট পেয়েছি:

Hydra v8.0 (c) 2014 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2014-12-03 21:58:40
[DATA] max 1 task per 1 server, overall 1 tasks, 1 login try (l:1/p:1), ~1 try per task
[DATA] attacking service http-post-form on port 80
1 of 1 target completed, 0 valid passwords found
Hydra (http://www.thc.org/thc-hydra) finished at 2014-12-03 21:58:41

আমি কোথায় ভুল ছিল তা পুরোপুরি নিশ্চিত নই। কেউ আমাকে লক্ষ্য করতে বা পরামর্শ দিতে পারে?

নিম্নলিখিতটি যখন আমি ব্রাউজারের সাথে HTTP ফর্ম পোস্টটি ব্যবহার করি তখন নীচের পোস্টগুলি হয়:

POST /security/3/php/ HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://localhost/security/3/php/ Cookie: __vjstorage=%7B%7D Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 52 login_field=admin&password_field=r00t&go_field=Login

আমি এই শিরোলেখগুলিকে হাইড্রায় পরিণত করার চেষ্টা করার পরে, আমি ইস্যু করি:

hydra -v -V -l admin -p r00t -s 80 localhost http-post-form "/security/3/php/index.php:login_field=^USER^&password_field=^PASSWORD^&go_field=Login:Error:H=Host: localhost:H=User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:33.0) Gecko/20100101 Firefox/33.0:H=Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8:H=Accept-Language: en-US,en;q=0.5:H=Accept-Encoding: gzip, deflate:H=Referer: http://localhost/security/3/php/:H=Cookie: __vjstorage=%7B%7D:H=Connection: keep-alive:H=Content-Type: application/x-www-form-urlencoded:H=Content-Length: 52"

আউটপুট

Hydra v8.0 (c) 2014 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2014-12-05 17:33:10
[DATA] max 1 task per 1 server, overall 1 tasks, 1 login try (l:1/p:1), ~1 try per task
[DATA] attacking service http-post-form on port 80
[VERBOSE] Resolving addresses ... done
[ATTEMPT] target localhost - login "admin" - pass "r00t" - 1 of 1 [child 0]
[STATUS] 1.00 tries/min, 1 tries in 00:01h, 1 todo in 00:01h, 1 active
[STATUS] 0.50 tries/min, 1 tries in 00:02h, 1 todo in 00:01h, 1 active
[STATUS] 0.33 tries/min, 1 tries in 00:03h, 1 todo in 00:01h, 1 active

কাজ মনে হচ্ছে না।


এইচডিটিপি শিরোনাম এলে হাইড্রার সাথে আমার কিছু সমস্যা হয়েছিল। আমি একটি সম্পূর্ণ পিএইচপি নুব, কিন্তু আপনি কি অনুরোধ সহ একটি শিরোনাম প্রেরণ করা সম্ভব? সামগ্রী-প্রকারের মতো কিছু: অ্যাপ্লিকেশন / x-www-form-urlencoded। যদি এটি হয় তবে হাইড্রার সম্পর্কে আমার প্রশ্নটি দয়া করে পরীক্ষা করুন: সিকিউরিটি.স্ট্যাকেক্সচেঞ্জ
মাইকেল

আমি এটি চেষ্টা করেছি এবং এটি আমার পক্ষে কাজ করেছে worked যদিও আমি হাইড্রা v7.6 ব্যবহার করছি। আপনার নেটওয়ার্ক ট্র্যাফিক ডিবাগ করুন এটি আপনার প্রত্যাশিত হোস্টের কাছে কী প্রত্যাশা করে তা প্রেরণ করছে কিনা তা দেখতে।
সিলভারলাইটফক্স

@ সিলভারলাইটফক্স ওহ, ঠিক আছে
জিটা

সেই তথ্য যুক্ত করতে কেন আপনার প্রশ্ন সম্পাদনা করবেন না? কমেন্টে পড়া খুব সহজ নয়।
সিলভারলাইটফক্স

@ সিলভারলাইটফক্স দুঃখিত, ভেবেছি এটি ফর্ম্যাট করা সম্ভব was এখন এটি প্রশ্নে আছে। ধন্যবাদ।
জিটা

উত্তর:


আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.