使用Hydra和JSON
使用Hydra和JSON
提问于 2019-02-13 14:56:47
试着让九头蛇在我的生活中处理一个JSON请求。
General:
- 请求网址:https://api.myapp.app/api/accounts/login/
- 请求方法: POST
- 现状代码: 401未经授权
- 远程地址: xx.xxx.xxx.xxx
- 推荐人政策:降级时不推荐人
响应头:
- 访问-控制-允许-方法:获取、发布
请求头:
- 内容-类型:应用程序/json
- 产地:https://myapp.app
- 推荐者:https://myapp.app/login
- 用户-代理: Mozilla/5.0
请求有效载荷:
{username: "root", password: "toor"}
password: "toor"
username: "root"无效登录响应:{“错误”:“用户名或密码不正确”}
我尝试过多次迭代,但始终得到以下错误消息:接收以下错误消息:错误无效目标定义!
hydra https://api.myapp.app https-form-post "api/account/login:username=^USER^&password=^PASS^:F={\"error:\" \"username \" \"or \" \"password \" \"wrong\"}" -l root -p toor回答 2
Security用户
发布于 2019-02-13 18:20:01
我无法让Hydra命令工作,但我确实了解了patator,https://github.com/lanjelot/patator,它起了作用。
帕塔多指挥部:
python patator.py http_fuzz url=https://api.myapp.app/api/login/ method=POST body='username=root&password=FILE0' 0=/home/[your dictionary file]如果有人是Hyrda的专家,我仍然有兴趣学习如何使用九头蛇为同样。虽然赞助者工具有效,但我不确定它是否支持利率限制和在九头蛇中发现的其他功能。
Security用户
发布于 2019-02-13 20:29:47
我无法想象hydra不适用于您试图使用它的场景。这文章谈到了为什么您会看到Invalid target defintion错误。
尝试调整hydra命令,并删除附加到API中的http://。
完整的例子:
hydra -l root -p toor api.myapp.app https-form-post "/api/accounts/login:username=^USER^&password=^PASS^:F={\"error:\" \"username \" \"or \" \"password \" \"wrong\"}"可以通过将-p标志替换为加载密码文件的-P来进一步更新该命令。
在水力v8.6上进行了测试。
更难进一步调试您的问题,因为我们无法重现它,但这应该可以解决您当前的问题。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/203501
复制相关文章
相似问题
腾讯云开发者
