當前位置:成語大全網 - 新華字典 - 使用kali Hydra暴力破解phpadmin網站(失敗)

使用kali Hydra暴力破解phpadmin網站(失敗)

壹個沒有保護措施的phpadmin後臺。

在github上找到字典,或者使用kali自帶字典

用burp抓包後找到url和錯誤信息,按照hydra的語法寫下語句

有壹個困擾了很久的點是,最開始的壹遍掃描成功不了,原因是只寫了ip沒有改端口。導致其實壹直在掃壹個404頁面。

-s選項可以更改端口。

最終命令:

hydra -L Top20_Admin_Users.txt -P FastPwds.txt -V -t 4 -e ns -f -s 88 xx.xx.xx.xx http-post-form "/xxx:xxx=^USER^&xxx=^PASS^&server=1&token=2bbde9ea85a0ac2da88dd37a84c63d57:#1045 Cannot log in to the MySQL server"

很奇怪的是每壹個測試都成功了,使用代理後檢測才發現發出去的request很奇怪導致獲取不了正確的包。

改用burpsuite,在參考別人文章後安裝破解版burpsuite,發現這個東西用來web攻擊很好用。

phpmyadmin有壹個防禦機制,發送第壹個包到後臺後,會重新發送壹個get請求,在cookie裏面帶上加密的username和password。解決方法沒找到。最終破解失敗。

有任何問題可以私信我。