This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Eigenschaften]
[+] Brachial nach der POST- Methode
[+] Brachial nach der GET- Methode
[+] Brute Basic-Autorisierung ( HEAD- Methode)
[+] Brute FTP
[+] Multithreading (1 ~ 1000 Threads)
[+] Möglichkeit, zusätzliche Anforderungsvariablen (GET / POST) festzulegen.
[+] Die Möglichkeit, Cookies zu setzen.
[+] Brute mit einem Proxy (eingebauter Proxy-Rotator mit Auto-Check-Funktion und benutzerdefiniertem Auto-Change)
[+] 3 Angriffsmodi:
- Attacke 1 Login
- Angriff mehrerer Logins
- Angriff mit 1 Passwort


[Zusätzliche Funktionen]
[+] Eingebauter einfacher HTML-Browser mit Hervorhebung der Eingabe-Tags und Anzeige der von der Site empfangenen Header.
[+] Dictionary Manager (Generieren, Kleben, Brechen)


[Notizen]
- Das Programm setzt das Vorhandensein von .NET Framework> 2.0 voraus
- Einstellungen werden in der Datei Config.xml gespeichert
- Gespeicherte Elemente aus ComboBoxen können durch Drücken von Strg + Entf gelöscht werden.
- Wenn das Programm mit dem Schalter / oldstyle gestartet wird, hat es den alten Entwurfsstil.
- Beim Wechseln des Tab'a verlangsamt sich die GUI etwas.
- Versuchen Sie, keine kyrillischen Zeichen im Indikator zu verwenden (da einige Sites die falsche Kodierung im Header senden). - Das Programm ist noch roh, also hoffe ich auf eure Ratschläge / Pannen.


[Handbuch für Anfänger]
Sie müssen die Daten des Webformulars in das Programm übertragen.
Öffnen Sie dazu die Seite page und suchen Sie das <form> -Tag (möglicherweise gibt es mehrere dieser Tags. Stellen Sie daher sicher, dass dies das genaue Formular ist.).

1. In diesem <form> -Tag suchen wir nach dem Aktionsattribut . Dies ist die Ziel-URL . Wenn es kein solches Attribut gibt, kopieren Sie die URL dieser Seite, die wir geöffnet haben. Es gibt auch ein Methodenattribut . Wenn es sich um POST handelt , setzen Sie die Protokoll- / Angriffsmethode auf HTTP-POST , wenn GET HTTP-GET ist . (Beachten Sie, dass alle GET-Übergänge in den Serverprotokollen gespeichert sind, sodass die Tatsache, dass Brute auftritt, wahrscheinlich durch die wachsende Größe der Protokolle schnell erkannt wird.)

2. Dann suchen wir in unserem <form> -Tag nach <input> -Tags (im Browser wird hervorgehoben). Dies sind die sogenannten Felder. Wir benötigen die Identifier-Felder, dh die Felder, in denen Login und Passwort beim Senden an den Server übertragen werden.
Wir suchen nach dem Attribut name im Tag <input> . Wenn sein Inhalt Login , Nickname , Benutzername usw. ähnelt. (Ich denke, sie haben die Essenz verstanden), dann ist dies das Login-Feld. Kopieren Sie das Namensattribut in das Feld " Login" unseres Programms.
Wir machen dasselbe mit dem Passwortfeld (es wird wahrscheinlich den Namen pass , password , pwd , etc. haben).
Es ist auch erforderlich, zusätzliche Felder (Attributname und -wert ) in den Abschnitt Zusätzliche Anforderungsvariablen zu übertragen .
Befindet sich im <form> -Tag ein <input> mit type = "submit" , ist dies die Anmeldeschaltfläche. Wir übertragen seine Attribute in das Programm im Bereich " Attribute des Submit-Buttons ".
Wenn ein <input> -Tag kein Namensattribut hat, interessiert es uns nicht.

3. Anschließend müssen Sie das Textkennzeichen für eine erfolgreiche Anmeldung setzen .
Dies ist ein wichtiger Parameter und für jede Site unterschiedlich. Anhand dieses Indikators entscheidet das Programm, ob eine erfolgreiche Anmeldung stattgefunden hat oder nicht. Das heißt, wenn der angegebene Text in der Quelle der Seite fehlt / vorhanden ist, wird die Anmeldung als erfolgreich angesehen.
Als Indikator können Sie ein Code-Snippet des Formulars verwenden (da es bei einem erfolgreichen Versuch offensichtlich nicht auf der Seite vorhanden ist) oder, wenn Sie ein Konto auf der angegriffenen Website haben, ein Code-Snippet verwenden, das bei einem erfolgreichen Versuch eindeutig auf der Seite vorhanden ist (z. B. den Code für die Schaltfläche Beenden) "von der Site).

4. Setzen Sie dann gegebenenfalls Cookies . Was ist das - lesen Sie auf Wikipedia. Kopieren Sie sie vom Browser in das Programm.
Für die Wiedergabetreue müssen Sie zuerst die Cookies der angegriffenen Site vollständig löschen, dann zu ihr gehen und sie erst dann kopieren. Normalerweise werden Cookies von der Website überprüft, um sicherzustellen, dass Sie kein Roboter sind.

5. Was die Art der Suche betrifft , denke ich, dass alles klar ist.
Wenn Sie 1 Konto auswählen müssen, geben Sie das Login ein und geben Sie die Datei mit den Passwörtern an .
Wenn mehrere Konten vorhanden sind, benötigen Sie eine Datei, in der Benutzername und Passwort durch ein Trennzeichen voneinander getrennt sind. Beispiel:
Bei einem Angriff auf 1 Passwort, denke ich, werden Sie es selbst herausfinden.

Zitat
login1; password1
login2; password2
login3; password3



Wenn Sie ein funktionierendes Konto auf der angegriffenen Site haben, seien Sie nicht faul - testen Sie das Programm unbedingt darauf.

Ein deutlicher Hinweis darauf, dass das Programm falsch konfiguriert ist, ist die Situation, in der alle Versuche korrekt sind (die Ergebnisse werden im Programmprotokollfeld angezeigt). In diesem Fall überprüfen Sie die Parameter erneut.
[Beispieleinstellungen für brut mail.ru]
Wie das Sprichwort sagt: "Skifilze gehen nicht, ich bin Filze ..."

PS. in cookies - Variablen, die beim Besuch von mail.ru automatisch abgerufen werden. Wie ich herausgefunden habe, können die Werte dieser Felder beliebig sein, da beim Anmelden geprüft wird, ob sie vorhanden sind und nicht der Inhalt.


software.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]