我想查看我的网页只有一个 ip ,没有主机名(http://ip.ip.ip.ip/dologin.htm)
现在我想检查来自hydra的蛮力。
我尝试的是:
hydra -l admin -p admin ip.ip.ip.ip http-post-form "/dologin.htm:P2=^PASS^&Login=:1"
P2:密码形式
LOGIN:用户名形式(这是空的 - 没有用户名)
:1:输入密码错误(没有输入错误密码的消息)......
结果是:
当我在hydra输入正确的密码时,表示您的密码错误...
我该怎么办?
由于
答案 0 :(得分:1)
问题是你失败了条件(:1)。
从source我们可以看到选项字段的格式如下:
选项字段(在服务字段之后)需要三个":"分离 值和可选的第四个值,第一个是服务器上的页面 要获得GET或POST,第二个是POST / GET变量(取自其中之一) 具有不同用户名和密码的浏览器或PAROS等代理 在" ^ USER ^"和" ^ PASS ^"占位符,第三个是它的字符串 检查无效或有效登录 - 计算任何异常 成功。 所以,请: *无效条件登录前应以" F =" *有效条件登录之前应为" S ="。 默认情况下,如果未找到标头,则假定条件为失败, 所以检查无效登录。 第四个可选值,可以是' C'定义GET的不同页面 初始cookie来自。
因此,您应该能够提供success条件而不是fail条件。
因此,请将:1更改为:S=string from the page after successful login。