Hydra https-form-post
私はオンラインパスワードクラッカーをあまり実験したことがありません。今日、このウェブサイトでHydraを使用しようとしました www.athena2.harker.org で、誤検知が続いています。
これは私がこれまでに行ったことです:
- webサイトにpingし、209.23.201.55のIPアドレスを取得
フォームタイプを特定し、それはhttps-form-post
<form id="login" method="post" action="https://athena2.harker.org/login/index.php">失敗の応答が見つかりました:「無効なログインです。もう一度やり直してください」
このコマンドを実行する
hydra 209.23.201.55 https-form-post "/login/index.php:username=^USER^&password=^PASS^&Login=Login:Invalid login" -l test -p test -t 10 -w 30 -o example.txt
誰かが私が間違っていることを教えてもらえますか?
私は学校のIT部門で働いています。私たちはオープンソースのMoodleプラットフォームで運用しており、学生が最近管理者アクセス権を取得したため、発行するパスワードの強度を評価しています。 (6桁/小文字のパスワード)。このフォーラムの攻撃者が悪意を持って標的にされていると思い込まないでください。侵入テストとコンピューターセキュリティは正当な分野です。
実際のシステムを攻撃している、それがあなたが間違っていることです。
このサービスのセキュリティを破るように明示的に契約されている場合(つまり、サーバー所有者との侵入テスト契約に署名している場合)を除き、stopを実行してください。
編集:
あなたがこのテストを実行する許可を持っているのは良いことです(私がこれに当てはまらない同様の質問が驚くほど多く見られ、ユーザーが自分たちを起訴の重大なリスクにさらすことになるでしょう)。
したがって、新しい情報を使用して、6つの小文字でパスワードの強度をテストすることが目的です。
これは理論的には可能です。可能な最大の順列は26 ^ 6 =〜309百万です。単位時間あたりのログインレート制限を取得すると、パスワードを解読するのにかかる時間を把握できます。適切に構成されたWebアプリでは、このメソッドは機能しない(管理者パスワードがランダムであると想定)。
これは、ソルト処理およびハッシュ処理されたパスワードファイルを取得し、ブルートフォースで「オフライン」にすることで実行できます。これにより、攻撃で何が起こるかをより正確にシミュレートし、ライブシステムを攻撃することで障害が発生するリスクを排除します。
約20回連続してエラーが発生した後、Webサーバーが同じエラーを表示しないのはよくあることです。入力フィールドを探してみてください。ログインが成功するまで、エラーが発生する傾向があります。