我正在使用不同的工具进行一些密码破解实验。我在VMWare Workstation中进行了本地设置。我有一个受HTTP Basic Auth保护的网站(当我浏览它时弹出一个对话框)。
虽然我正在努力克服Patator的语法 - 我无法让网站蛮力(像Ncrack和Hydra这样的工具工作正常)。我已将它用于SSH,因此我知道该工具可以工作,只是无法确定HTTP Basic Auth的命令
patator http_fuzz auth_type=basic url=http://10.1.1.15 user_pass=FILE0:FILE0 0=./passwd_lists/user_pass.txt -x ignore:code=401
user_pass.txt包含'username':'password',用冒号分隔
基本身份验证密码为“123”,user_pass.txt包含000 - 999的所有排列,用户名始终保持一致。我可以看到Patator进行了1000次尝试,但是他们都使用HTTP 401失败了
11:26:27 patator INFO - 401 672:456 0.001 | molly:969 | 970 | HTTP/1.1 401 Unauthorized
11:26:27 patator INFO - 401 672:456 0.001 | molly:979 | 980 | HTTP/1.1 401 Unauthorized
11:26:27 patator INFO - 401 672:456 0.001 | molly:989 | 990 | HTTP/1.1 401 Unauthorized
11:26:27 patator INFO - 401 672:456 0.001 | molly:999 | 1000 | HTTP/1.1 401 Unauthorized
11:26:28 patator INFO - Hits/Done/Skip/Fail/Size: 1000/1000/0/0/1000, Avg: 732 r/s, Time: 0h 0m 1s
我认为我的命令语法不正确,任何帮助真的很感激。
谢谢
原来我的语法不正确,我的用户名和密码在一个文件中冒号分隔,所以语法应该是
patator http_fuzz auth_type=basic url=http://10.1.1.15 user_pass=FILE0 0=./passwd_lists/user_pass.txt -x ignore:code=401
不同之处是对FILE0的单一引用