Hydra爆破[无验证码]Web页面
Hydra是密码爆破神器,读者可以阅读这篇文章
0.区分Get/Post类型的登陆页面
0.1.使用Wireshark:
分析HTTP协议怎会少了Wireshark?区分Web是以Get Method还是以Post Method发送密码对Wireshark而言简直是小菜一碟:选择网卡后,在"Display fitler"中输入http,然后刷新登入页面,回到Wireshark,分组列表的"Info"列会显示该登入页面使用何种Method发送密码。如下图,是我登入TP-Link路由器(TL-WR841N)管理页面时,Wireshark捕获的结果,TP-Link以Http Get Method方式发送密码:
![Hydra爆破[无验证码]Web页面_第1张图片](http://img.e-com-net.com/image/info8/500eb2a066d54f4294db3729b8c0515a.jpg)
0.2.使用Firefox-firebug插件:
用Firefox打开登入页面,按F12或者在页面上右键-"查看元素",激活Firebug,如下图:
![Hydra爆破[无验证码]Web页面_第2张图片](http://img.e-com-net.com/image/info8/41823ee46594408e88ed01dee6be72cf.jpg)
点击Firebug-"网络",然后登入页面。网络标签页会列出登入页面发出的请求,以及消息头。消息头中将列出请求类型:
![Hydra爆破[无验证码]Web页面_第3张图片](http://img.e-com-net.com/image/info8/8c0dcb9b36104ea8a68915d52a0cd226.jpg)
因为访问Web页面少不了浏览器,所以本文就使用Firebug演示。有了上面的铺垫,我们由简单到复杂,爆破登陆页面。
1.爆破Get Method类型的登陆页面
先从Get Method入手,靶机还是TP-Link的登陆页面。用hydra爆破Get Method类型的登陆页面,需要关注2个信息:服务器IP和登陆页面(Login Page)。在Firebug-网络标签页中选择一个请求-进入右侧的消息头(Headers),点击"编辑和重发"按钮,Firebug会列出在新请求(New Request)框中IP和登陆页面的信息:
![Hydra爆破[无验证码]Web页面_第4张图片](http://img.e-com-net.com/image/info8/013283a19e9a40c4bed61a8e72df3e47.jpg)
![Hydra爆破[无验证码]Web页面_第5张图片](http://img.e-com-net.com/image/info8/55e39b5c725249ebb65a0a8684d7aa63.jpg)
上图中服务器IP是192.168.2.1;请求的登陆页面是 "/"。现在可以基于这些信息开始构建hydra的命令(假设你已经有爆破字典,没有的话可以参考这篇文章生成字典):
hydra -l Eugene -P wordlist.txt -t 4 -vV -f 192.168.2.1 http-get /
#-l Eugene是登入账户名 简单起见没有使用用户名字典
#-P 指定密码字典
#-f 爆破成功后hydra就停下
#对于参数http-get 需要提供前面firebug给出的IP:"192.168.2.1"和登陆页面:"/"人品足够好,hydra不久会给出密码(password:123321as):
![Hydra爆破[无验证码]Web页面_第6张图片](http://img.e-com-net.com/image/info8/2162c6e9cc2c4efa8d1aaf4bda4d1f65.png)
2.爆破Post Method类型的登陆页面
爆破Post Method类型的登陆页面相对麻烦,需要关注4个信息:服务器IP,登录页面,消息主体(Request Body)和错误消息(payload)。所幸,这些信息在Firebug中也有提供。
消息主体(其实是POST消息提交的表单参数)位于:Firebug-网络-消息头-编辑和重发-新请求,如下图:
![Hydra爆破[无验证码]Web页面_第7张图片](http://img.e-com-net.com/image/info8/5d8ee6be189b4edb9204e1b52bc892b5.jpg)
错误消息位于:Firebug-网络-响应-响应载荷(payload),(PS:错误消息作为hydra区分登录是否成功的重要参考信息。并不需要提取全部错误消息,只需要找到代表性的登录错误提示即可),如下图:
![Hydra爆破[无验证码]Web页面_第8张图片](http://img.e-com-net.com/image/info8/74c52221134e4e809e8281824594806c.jpg)
先看一个简单的页面(老婆做的页面...),输入错误的密码后会在页面上打印一段错误消息,比如我输入name:admin,key:1234,看下Firebug的输出:
![Hydra爆破[无验证码]Web页面_第9张图片](http://img.e-com-net.com/image/info8/492f39d9b13b4d61b1caaec739916b92.jpg)
![Hydra爆破[无验证码]Web页面_第10张图片](http://img.e-com-net.com/image/info8/67bd764d6faa4d9890f24a49cd3f6760.jpg)
Firebug显示服务器IP:192.168.0.151;登陆页面是/post.php;请求主体,也就是POST提交的表单参数:uName=admin&uKey=1234;服务返回的错误消息中包含"Error"字符串。因此,我们可以这样构建hydra命令行:
hydra -l admin -P wordlist.txt -f -t 4 -vV 192.168.0.151 http-post-form "/post.php:uName=^USER^&uKey=^PASS^:Error"运行命令,同样,人品够好的话hydra会马上返回结果:
![Hydra爆破[无验证码]Web页面_第11张图片](http://img.e-com-net.com/image/info8/190ebfc55e42445d99e5b7732f6b51ef.png)
再修改一下登陆页面,当输入错误的密码时,弹出错误对话框:
alert('ERROR')";
};
?>
![Hydra爆破[无验证码]Web页面_第12张图片](http://img.e-com-net.com/image/info8/25724ab74edd4204b085634419138df8.jpg)
修改后的消息头和响应载荷(payload)分别为:
![Hydra爆破[无验证码]Web页面_第13张图片](http://img.e-com-net.com/image/info8/9182d4db12784f5bb43c6c3e61f398af.jpg)
![Hydra爆破[无验证码]Web页面_第14张图片](http://img.e-com-net.com/image/info8/21567169b84e4c7abf740f7847809b26.jpg)
错误消息中包含"alert"字符串,将它作为关键字,构建如下hydra的命令:
hydra -l admin -P wordlist.txt -f -t 8 -vV 192.168.0.151 http-post-form "/post2.php:uName=^USER^&uKey=^PASS^:alert"最终获得账号密码
![Hydra爆破[无验证码]Web页面_第15张图片](http://img.e-com-net.com/image/info8/f64d5a16eb3f4db5a6d9f98b9a65c340.png)