Wireshark с Zenmap к подбору паролей Hydra и приведенной Вами ссылке непосредственного отношения не имеет.
Сначала надо определить, по какой фактически ссылке происходит авторизация, и какие данные передаются.
Настраиваем связку Firefox + OWASP ZAP (с этим сами справитесь ?), идем на указанную ссылку, имеем авторизационный запрос -
(заголовок)
PUT
https://www.vodafone.de/api/commerce/authstatus HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: application/json
Accept-Language: en-US,en;q=0.5
Referer:
https://www.vodafone.de/shop/authentifizierung.html?btype=decide&configURL=/scripts/ecommerce.config.auth.json&cancel=/privat/handys-tablets-tarife/vertragsverlaengerung.html
Content-Type: application/json
Content-Length: 92
Connection: keep-alive
Host:
www.vodafone.de
(тело)
{"username":"GSM1234567890","authType":"KIAS","pas sword":"1234567890","flow":"TARIFFCHANGE"}
и ответ
(заголовок)
HTTP/1.1 401 401 Unauthorized
Date: Tue, 05 Feb 2019 12:37:29 GMT
Server: Apache
Strict-Transport-Security: max-age=15638400
Strict-Transport-Security: max-age=10886400; preload
X-VF-bshoptoken-set: 68A23FD9-09DC-3F0A-F86812BF5B16CF1E
Vary: User-Agent
P3P: CP="NOI DSP LAW CURa OUR NOR PUR COM NAV INT STA"
Content-Type: application/json
Set-Cookie: a=b
Set-Cookie: a=b
Set-Cookie: a=b
Set-Cookie: a=b
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Cache-Control: no-cache, must-revalidate
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Keep-Alive: timeout=35, max=1000
Connection: Keep-Alive
(тело)
{"responseCode":"A.P.401.2","description":"Inva lid username or password. Please try again.","_links":{"self":{"href":"/authstatus"}},"cf10":"Y"}
т.е. запрос на авторизацию осуществляется методом HTTP PUT (а НЕ GET и НЕ POST, как обычно), а параметры пользователя передаются в формате JSON (и имя пользователя не то, что вводится в соответствующее поле, а с префиксом GSM).
Еще, обратите внимание, в запрос на авторизацию кроме логина/пароля включаются параметры authType и flow (зависит от того, откуда пришел пользователь - см. Referer - в приведенной ссылке, например, тариф пытаются сменить). Логика работы системы наверняка учитывает эти параметры, и в зависимости от их значений, может работать по-разному.
Таким образом, Hydra тут вряд ли поможет, нужно перебирать запросы или средствами OWASP ZAP|Burp Suite, или какими-либо самописными скриптами. Скрипты с использованием curl, например, должны обращаться к авторизационной форме примерно таким образом -
curl -i -H "Accept: application/json" -X PUT -d "ПараметрыJSON" ВашаУязвимаяСсылка
Если с автоматизацией/скриптингом curl разбираться трудно или лень, модуль HTTP-PUT есть в nmap, можно попробовать его -
https://nmap.org/nsedoc/scripts/http-put.html, тогда параметры работы скрипта будут выставляться примерно подобным образом
nmap -p 80
https://www.vodafone.de/api/commerce/authstatus --script http-put --script-args http-put.url='
/tmp/query.json',http-put.file='/tmp/result.json'
По работе с HTTP PUT есть хороший материал -
https://www.smeegesec.com/2014/10/de...ut-method.html
P.S.:
Vodafone - не самая легкая цель для экспериментов, особенно в области brute force.
Линейный вид
