ホスト名のないIPが 1 つしかない自分のページを確認したい(http://ip.ip.ip.ip/dologin.htm)
からのブルートフォースをチェックしたいと思いhydraます。
私が試したのは:
hydra -l admin -p admin ip.ip.ip.ip http-post-form "/dologin.htm:P2=^PASS^&Login=:1"
P2: パスワードの形式
LOGIN: ユーザー名の形式 (これは空です - ユーザー名はありません)
:1: 不正なパスワードの試行 (不正なパスワードを入力するためのメッセージはありません)...
したがって、結果は次のとおりです。
正しいパスワードを入力hydraすると、パスワードが間違っていると表示されます...
私は何をすべきか?
ありがとう
問題はあなたの故障状態です(:1)。
ソースから、オプション フィールドの形式は次のようになっていることがわかります。
オプション フィールド (サービス フィールドに続く) は、":" で区切られた 3 つの値とオプションの 4 番目の値を取ります。 、または PAROS などのプロキシ) で、"^USER^" および "^PASS^" プレースホルダーにさまざまなユーザー名とパスワードが含まれている場合、3 番目は、無効または有効なログインをチェックする文字列です。成功として。* 無効な状態のログインの前に "F=" を付ける必要があります * 有効な状態のログインの前に "S=" を付ける必要があります。デフォルトでは、ヘッダーが見つからない場合、条件は失敗であると想定されるため、無効なチェックログインする。4 番目のオプションの値は、初期 Cookie を取得する別のページを定義する「C」にすることができます。
successしたがって、条件の代わりに条件を指定できるはずですfail。
したがって、に変更:1します:S=string from the page after successful login。