不久前,我有一个网站,在 Wordpress 上建立了会员区,在我对 infoSec 感兴趣之前有一段时间没有使用它。我已经使用我知道退出的密码和我不知道的密码尝试了 hydra。
当我尝试使用有效的用户名和错误的密码登录时,错误消息是Error: The password for user@email.com was not found.如果我在 hydra 命令中包含错误消息,hydra 启动但最多只能尝试 16 次。
我们正在处理 ahttps-form-post所以我理解由 a 分隔的 3 个参数:
<"/wp-login.php?wpe-login=true> : <log=user2email.com&pass=^PASS^&wp-submit=Log+In$redirect_to=https%3A%2F%2Fwww.website.com%2Fwp-admin%%2F> : <Error: The password for user@email.com was not found.>
如果我用 Hydra 替换不正确的登录信息:S=location,但是这并不能告诉我它是否找到了正确的密码。所以这会运行完整的单词表:
/wp-login.php:log=^user@email.com^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location
我认为问题在于错误消息包含:符号?