Patator угадывает пароли от почты

Собственно сегодня проходя один из CTF потребовался мне брут пользователей wordpress, воспользовался Patator, попутно решил его поизучать.

И вот что интересно.

Имеем почтовый ящик на сервере (Postfix smtpd), пароль на ящик hkCYChe3Dt
Тепeрь фишка. Стартуем patator
patator smtp_login host=xxx.xxx.xxx.xxx user=xx@xxxx.com password=FILE0 0=/root/pazz.txt

смотрим



обратите внимание на строчку type - это верный пароль.
ниже на картинке файл с паролями наш под номером 54


теперь ДОБАВИМ ЛИШНИЕ СИМВОЛЫ в наш верный пароль в файле словаре


запускаем patator и смотрим итог - как видно, patator вновь выделил данную строчку


Добавим в наш словарь верный пароль - строчка 34


стартуем вновь и получаем вот такие итоги - две строчки выделены и верный пароль и который был с лишними символами вконце



Теперь добавим один символ перед верным паролем - в данном случае я ставлю цифру 7



запускаем и видим - что patator никак не выделил наш нормальный пароль с цифрой 7 (на скрине 3 сверху) вначале, но зато вновь выделил верный пароль с лишними символами вконце



Далее я пробую урезать пароль - полный пароль hkCYChe3Dt, я отрезал t

итог - пароль выделен


режу еще символ



отрезав 3 после ничего не было найдено.

Собственно получается, можно найти часть пароля, что уже повышает шанс на успех при нападении. К примеру в нашем словаре будет Admin4er и при бруте он выползет, но не подойдет при логине, значит можно догенерить символы после используя Admin4er как основу.

Кто что думает по данному поводу?