Hydra.Брут post авторизации

Discussion in 'Песочница' started by Nikabal, 13 Aug 2018.

  1. Nikabal

    Nikabal New Member

    Joined:
    5 Aug 2018
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    • Для авторизации используется html форма, которая отправляет по адресу http://циферки/ISAPI/Security/sessionLogin?timeStamp=1533908577014 методом POST запрос вида <SessionLogin><userName>LOGIN</userName><password>16366309c2ca058a513678fa84bd25545d73c3d72a935e4e69f7d8ad2ee314c2</password><sessionID>ab9d4f038a41b6e17205</sessionID></SessionLogin>: что это за форма запроса? где здесь пароль ?(вот такую форму я понимаю username=root&password=test_passw0rd;)
     
  2. dmax0fw

    dmax0fw Level 8

    Joined:
    31 Dec 2017
    Messages:
    106
    Likes Received:
    128
    Reputations:
    46
    XML
    на своём месте
    просто в качестве пароля - api токен
     
  3. Nikabal

    Nikabal New Member

    Joined:
    5 Aug 2018
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Как можно пароль подобрать ? логин идёт же по post форме а пароль по XML ? И как пароль тогда подобрать?
     
  4. h3xp1017

    h3xp1017 Member

    Joined:
    28 Oct 2015
    Messages:
    85
    Likes Received:
    29
    Reputations:
    1
    в бурпсуите перехвати запрос и посмотри. можешь им же и побрутить потом интрудером. пароль судя по всему в sha256 у тебя шифруется перед отправкой. а вообще в гугле вроде на гитхабе лежит сорц движка твоего, посмотри исходники
     
  5. Nikabal

    Nikabal New Member

    Joined:
    5 Aug 2018
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Всмысли (сорц движка твоего)просто плохо понимаю(распиши по подробнее )
     
Loading...