我正在尝试使用 Hydra 在本地托管的网站上测试一些基本的蛮力策略。该网站有 2 个登录层:第一个是 a http-get Basic Auth,在您使用基本身份验证登录后,您将进入使用http-post-form. 我已经有了基本身份验证层的密码,我想在实际登录层上测试用户名和密码列表。
对于我可以使用的基本身份验证层
hydra -l username -p password -s 9000 -V 127.0.0.1 http-get "/index.php"
这当然是成功的,因为我知道用户名和密码。现在我想对通过 HTTP 基本身份验证后的第二个登录层执行另一个 Hydra 攻击。
我试过这个命令:
hydra -l username -p password -s 9000 -V 127.0.0.1 http-get "/index.php" ; hydra -L usernames.txt -P passwords.txt -s 9000 -V 127.0.0.1 http-post-form "/index.php:username=^USER^&password=^PASS^&Login=submit:Login failed - incorrect username or password"
此命令不起作用,因为command 1 ; command 2连续运行两个脚本但不记得第一个命令的输出。
我可以使用哪个命令来运行这两个命令,但command 2只能在绕过 HTTP 基本身份验证后运行command 1