操作hydra-gtk的選項,在最底下狀態列會顯示對應的hydra命令,在hydra-gtk啟動暴力破解,卻找不到符合的帳密,如圖一所示。
 |
| 圖一:hydra-gtk找不到匹配的密碼 |
hydra-gtk轉出的指令:
hydra -V -l admin -P /root/password.lst -t 8 -q -m /doLogin:"uid=^USER^&passw=^PASS^&btnSubmit=Login:Login Failed:C=/login.jsp" demo.testfire.net http-post-form
但我很清楚有一組admin / admin的帳密是可以用的,心中疑惑是不是在填hydra-gtk選項時弄錯了什麼,一再檢視都找不到哪裡有錯,於是將hydra-gtk產生的指令在終端上直接執行,結果如圖二所示,真的有找到admin / admin這組帳密,很明顯hydra-gtk有Bug存在。
 |
| 圖二:直接在終端機執行就沒有問題 |
外一章:當啟用hydra-gtk的debug選項,執行暴力破解時,start頁籤會輸出大量資訊,hydra-gtk不會自動捲動訊息框。此時若手動捲動訊息框,hydra-gtk會當機。
結論:
hydra-gtk和hydra的整合可能有問題,還是將hydra-gtk當成命令產生器就好,以免造成誤判!
沒有留言:
張貼留言