Gandolfini2018
05.02.2019, 15:56
Добрый день!
У меня вопрос по thc hydra. Искал в инете, но ответа так и не нашёл. Задача простая: брутить пароли на странице. Это я так понял страница с вебформой. Ссылка ниже
https://www.vodafone.de/shop/authen...dys-tablets-tarife/vertragsverlaengerung.html (https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=%2Fscripts%2Fecommerce.config.auth.json&cancel=%2Fprivat%2Fhandys-tablets-tarife%2Fvertragsverlaengerung.html)
Установил linux, wireshark, zenmap. Не могу понять как настроить всё ,чтобы работало.
Буду признателен за помощь или ссылку. За подробное решение моей проблемы могу обещать денежное вознаграждение. Спасибо
BillyBons
05.02.2019, 17:00
Wireshark с Zenmap к подбору паролей Hydra и приведенной Вами ссылке непосредственного отношения не имеет.
Сначала надо определить, по какой фактически ссылке происходит авторизация, и какие данные передаются.
Настраиваем связку Firefox + OWASP ZAP (с этим сами справитесь ?), идем на указанную ссылку, имеем авторизационный запрос -
(заголовок)
PUT https://www.vodafone.de/api/commerce/authstatus HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: application/json
Accept-Language: en-US,en;q=0.5
Referer: https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=/scripts/ecommerce.config.auth.json&cancel=/privat/handys-tablets-tarife/vertragsverlaengerung.html (https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=%2Fscripts%2Fecommerce.config.auth.json&cancel=%2Fprivat%2Fhandys-tablets-tarife%2Fvertragsverlaengerung.html)
Content-Type: application/json
Content-Length: 92
Connection: keep-alive
Host: www.vodafone.de (http://www.vodafone.de)
(тело)
{"username":"GSM1234567890","authType":"KIAS","password":"1234567890","flow":"TARIFFCHANGE"}
и ответ
(заголовок)
HTTP/1.1 401 401 Unauthorized
Date: Tue, 05 Feb 2019 12:37:29 GMT
Server: Apache
Strict-Transport-Security: max-age=15638400
Strict-Transport-Security: max-age=10886400; preload
X-VF-bshoptoken-set: 68A23FD9-09DC-3F0A-F86812BF5B16CF1E
Vary: User-Agent
P3P: CP="NOI DSP LAW CURa OUR NOR PUR COM NAV INT STA"
Content-Type: application/json
Set-Cookie: a=b
Set-Cookie: a=b
Set-Cookie: a=b
Set-Cookie: a=b
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Keep-Alive: timeout=35, max=1000
Connection: Keep-Alive
(тело)
{"responseCode":"A.P.401.2","description":"Invalid username or password. Please try again.","_links":{"self":{"href":"/authstatus"}},"cf10":"Y"}
http://rgho.st/7j66TKf26
http://rgho.st/8YXllYtbJ
т.е. запрос на авторизацию осуществляется методом HTTP PUT (а НЕ GET и НЕ POST, как обычно), а параметры пользователя передаются в формате JSON (и имя пользователя не то, что вводится в соответствующее поле, а с префиксом GSM).
Еще, обратите внимание, в запрос на авторизацию кроме логина/пароля включаются параметры authType и flow (зависит от того, откуда пришел пользователь - см. Referer - в приведенной ссылке, например, тариф пытаются сменить). Логика работы системы наверняка учитывает эти параметры, и в зависимости от их значений, может работать по-разному.
Таким образом, Hydra тут вряд ли поможет, нужно перебирать запросы или средствами OWASP ZAP|Burp Suite, или какими-либо самописными скриптами. Скрипты с использованием curl, например, должны обращаться к авторизационной форме примерно таким образом -
curl -i -H "Accept: application/json" -X PUT -d "ПараметрыJSON" ВашаУязвимаяСсылка
Если с автоматизацией/скриптингом curl разбираться трудно или лень, модуль HTTP-PUT есть в nmap, можно попробовать его - https://nmap.org/nsedoc/scripts/http-put.html, тогда параметры работы скрипта будут выставляться примерно подобным образом
nmap -p 80 https://www.vodafone.de/api/commerce/authstatus --script http-put --script-args http-put.url='/tmp/query.json',http-put.file='/tmp/result.json (https://www.vodafone.de/api/commerce/authstatus',http-put.file='/tmp/result.json)'
По работе с HTTP PUT есть хороший материал - https://www.smeegesec.com/2014/10/detecting-and-exploiting-http-put-method.html
P.S.:
Vodafone - не самая легкая цель для экспериментов, особенно в области brute force.
Gandolfini2018
05.02.2019, 22:54
Спасибо за развернутый ответ. Картинки не могу открыть почему-то. Я третий день сижу вникаю. Попробую сам дойти до выше изложенного вами. Но если не хватит терпения или мозгов можно ли расчитывать на вашу помощь. Разумеется не безвозмездно. Спасибо.
BillyBons
05.02.2019, 23:13
↑ (https://antichat.live/posts/4282732/)
Спасибо за развернутый ответ. Картинки не могу открыть почему-то. Я третий день сижу вникаю. Попробую сам дойти до выше изложенного вами. Но если не хватит терпения или мозгов можно ли расчитывать на вашу помощь. Разумеется не безвозмездно. Спасибо.
Картинки -
http://rgho.st/7j66TKf26
http://rgho.st/8YXllYtbJ
Остальное зависит от вопросов и конечной цели ... пишите здесь или в личку, отвечу по возможности.
По вебформе могу предложить использовать решения с Acunetix
https://d3eaqdewfg2crq.cloudfront.net/wp-content/uploads/2010/08/image04-2.png (https://www.google.com.ua/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=&url=https%3A%2F%2Fwww.acunetix.com%2Fblog%2Fdocs%2 Fauthentication-tester%2F&psig=AOvVaw0-i5kEC-DpRHYnBPKRseL5&ust=1549824980004613)
Похожее решение есть у IBM app scan.
И есть также софт открытый на гитхабе - https://github.com/s0md3v/Blazy - софт также рабочий.
Если этого мало - пишите, предоставлю ещё деталей.
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot