0

我正在用不同的工具做一些密码破解实验。我在 VMWare Workstation 中进行了本地设置。我有一个受 HTTP Basic Auth 保护的网站(当我浏览它时会弹出一个对话框)。

不过,我正在为 Patator 的语法苦苦挣扎——我不能让它暴力破解网站(像 Ncrack 和 Hydra 这样的工具工作正常)。我已经将它用于 SSH,所以我知道该工具可以工作,只是无法确定 HTTP Basic Auth 的命令

patator http_fuzz auth_type=basic url=http://10.1.1.15 user_pass=FILE0:FILE0 0=./passwd_lists/user_pass.txt -x ignore:code=401

其中 user_pass.txt 包含一个用冒号分隔的 'username':'password'

基本身份验证密码为“123”,user_pass.txt 包含从 000 到 999 的所有排列,用户名始终一致。我可以看到 Patator 进行了 1000 次尝试,但是它们都以 HTTP 401 失败

11:26:27 patator    INFO - 401  672:456        0.001 | molly:969                          |   970 | HTTP/1.1 401 Unauthorized
11:26:27 patator    INFO - 401  672:456        0.001 | molly:979                          |   980 | HTTP/1.1 401 Unauthorized
11:26:27 patator    INFO - 401  672:456        0.001 | molly:989                          |   990 | HTTP/1.1 401 Unauthorized
11:26:27 patator    INFO - 401  672:456        0.001 | molly:999                          |  1000 | HTTP/1.1 401 Unauthorized
11:26:28 patator    INFO - Hits/Done/Skip/Fail/Size: 1000/1000/0/0/1000, Avg: 732 r/s, Time: 0h 0m 1s

我认为我的命令语法不正确,非常感谢任何帮助。

谢谢

4

1 回答 1

2

原来我的语法不正确,我的用户名和密码在一个文件中用冒号分隔,所以语法应该是

patator http_fuzz auth_type=basic url=http://10.1.1.15 user_pass=FILE0 0=./passwd_lists/user_pass.txt -x ignore:code=401

不同之处在于对 FILE0 的单一引用

于 2019-04-08T18:47:58.663 回答