Muy buenas... quería comentaros que me estoy volviendo loco con el uso de Hydra. Me he documentado y he leído todo lo que he podido acerca del uso del programa, y he practicado con servicios como el ssh y cosas simples.
Ahora bien, hay una página de prueba para realizar estos "ataques" de fuerza bruta. Por aquí os la dejo y os comento de antemano que mi problema surge en la prueba número 4... donde te dicen que el Login puede ser root, admin o administrator y la contraseña un pin de 3 dígitos -> https://attack.samsclass.info/brute.htm
Los pines ya los he generado con crunch sin problema haciendo "crunch 3 3 0123456789 >> pines.txt" y será el fichero que adjuntaré a Hydra como contraseñas. También creé el correspondiente para los logins y lo llamé users.txt
De antemano por vídeos he visto que el usuario y la contraseña correcta son "root | 557", entonces bueno... hice uso de la siguiente sintaxis:
hydra -L login.txt -P password.txt attack.samsclass.info http-get-form "/brute4.php:login=^USER^&pin=^PASS^:Denied" -V
Pues no sé lo que pasa que cuando llega al PIN 557 con el usuario root, se lo salta y lo detecta como inválido. He esperado hasta que termine toda la operación... y lo mismo, salta que no encontró ninguna contraseña correcta. He estado probando con BurpSuite para ver si me daba el mismo error... y efectivamente no, con BurpSuite sí obtengo la contraseña y el usuario correcto. Pero en cuanto a velocidades... prefiero Hydra obviamente... por ello me preguntaba si alguno de vosotros podría ayudarme con el uso de la sintáxis para ver dónde está mi error.
Espero haber colocado en el lugar adecuado este tema, gracias de antemano.
Ahora bien, hay una página de prueba para realizar estos "ataques" de fuerza bruta. Por aquí os la dejo y os comento de antemano que mi problema surge en la prueba número 4... donde te dicen que el Login puede ser root, admin o administrator y la contraseña un pin de 3 dígitos -> https://attack.samsclass.info/brute.htm
Los pines ya los he generado con crunch sin problema haciendo "crunch 3 3 0123456789 >> pines.txt" y será el fichero que adjuntaré a Hydra como contraseñas. También creé el correspondiente para los logins y lo llamé users.txt
De antemano por vídeos he visto que el usuario y la contraseña correcta son "root | 557", entonces bueno... hice uso de la siguiente sintaxis:
hydra -L login.txt -P password.txt attack.samsclass.info http-get-form "/brute4.php:login=^USER^&pin=^PASS^:Denied" -V
Pues no sé lo que pasa que cuando llega al PIN 557 con el usuario root, se lo salta y lo detecta como inválido. He esperado hasta que termine toda la operación... y lo mismo, salta que no encontró ninguna contraseña correcta. He estado probando con BurpSuite para ver si me daba el mismo error... y efectivamente no, con BurpSuite sí obtengo la contraseña y el usuario correcto. Pero en cuanto a velocidades... prefiero Hydra obviamente... por ello me preguntaba si alguno de vosotros podría ayudarme con el uso de la sintáxis para ver dónde está mi error.
Espero haber colocado en el lugar adecuado este tema, gracias de antemano.