This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Merkmale]
[+] Brutale Methode POST
[+] Brut-Methode GET
[+] Brutale Basisberechtigung ( HEAD- Methode)
[+] Brutus- FTP
[+] Multithreading (1 ~ 1000 Threads)
[+] Möglichkeit, zusätzliche Anforderungsvariablen (GET / POST) festzulegen.
[+] Die Möglichkeit, Cookies zu setzen.
[+] Brutus mit einem Proxy (integrierter Proxy-Rotator mit avtochek-Funktion und benutzerdefinierter automatischer Änderung)
[+] 3 Angriffsmodi:
- Attack 1 login
- Mehrere Logins angreifen
- Angriff auf 1 Passwort


[Zusatzfunktionen]
[+] Eingebauter reiner HTML-Browser mit Hervorhebung der Eingabetags und Anzeigen von Kopfzeilen, die von der Website empfangen wurden.
[+] Dictionary Manager (Erzeugung, Verklebung, Panne)


[Notizen]
- Programm erfordert .NET Framework> 2.0
- Einstellungen werden in der Datei Config.xml gespeichert
- Gespeicherte Elemente aus der ComboBox können durch Drücken von Strg + Entf gelöscht werden.
- Beim Starten mit dem Schalter / oldstyle hat das Programm den alten Stil.
- Beim Wechseln der Registerkarte verlangsamt sich die GUI etwas.
- Versuchen Sie, keine kyrillischen Zeichen im Indikator zu verwenden (da einige Sites die falsche Kodierung im Header senden). - Das Programm ist noch roh, also hoffe ich, dass Ihr Ratschlag / Pannen gefunden wird.


[Handbuch für Anfänger]
Es ist notwendig, die Webformular-Daten in das Programm zu übernehmen.
Öffnen Sie dazu die Seite Sortierungen und suchen Sie das <form> -Tag (möglicherweise gibt es mehrere dieser Tags, daher müssen Sie sicherstellen, dass dies die richtige Form ist.).

1. Suchen Sie in diesem <form> -Tag nach dem Aktionsattribut . Dies ist die Ziel-URL . Wenn kein solches Attribut vorhanden ist, kopieren Sie die URL der Seite, deren Seite wir geöffnet haben. Es gibt auch eine Attributmethode. Wenn es sich um POST handelt , setzen Sie die Protocol / Attack-Methode auf HTTP-POST , wenn GET HTTP-GET ist . (Beachten Sie, dass alle Übergänge, die die GET-Methode verwenden, in den Serverprotokollen gespeichert werden, sodass die Tatsache von brut höchstwahrscheinlich schnell durch die wachsende Größe der Protokolle erkannt wird.)

2. Dann suchen wir in unserem <form> -Tag nach <input> -Tags (es gibt eine Hintergrundbeleuchtung im Browser). Dies sind die sogenannten Felder. Wir müssen die Felder der Kennungen abrufen, d. H. Die Felder, in denen Login und Passwort beim Senden an den Server übertragen werden.
Wir suchen nach dem Namensattribut im <input> -Tag. Wenn der Inhalt dem Login , dem Spitznamen , dem Benutzernamen usw. ähnelt. (Ich denke, die Essenz ist verstanden), das ist das Login-Feld. Kopieren Sie das Namensattribut in das " Login" -Feld " " unseres Programms.
Dasselbe machen wir mit dem "Passwort" -Feld (es wird wahrscheinlich Pass , Passwort , pwd usw. genannt).
Sie müssen auch zusätzliche Felder ( Namen- und Wertattribute) in den Abschnitt Zusätzliche Anforderungsvariablen übertragen .
Wenn sich innerhalb des <form> -Tags ein <input> mit type = "submit" befindet , ist dies die Login-Schaltfläche. Seine Attribute übertragen wir in das Programm im Abschnitt " Attribute des Submit-Buttons ".
Wenn ein <input> -Tag kein Namensattribut hat, interessiert es uns nicht.

3. Dann müssen Sie ein Textkennzeichen für eine erfolgreiche Anmeldung setzen .
Dies ist ein wichtiger Parameter und unterscheidet sich für jeden Standort. Entsprechend diesem Indikator entscheidet das Programm, ob ein erfolgreicher Eintrag erfolgt ist oder nicht. Wenn der angegebene Text in der Quelle der Seite nicht vorhanden ist, wird die Anmeldung als erfolgreich betrachtet.
Als Indikator können Sie ein Formularcodefragment verwenden (da es bei einem erfolgreichen Versuch sicherlich auf der Seite nicht vorhanden ist), oder wenn Sie ein Konto auf der angegriffenen Site haben, verwenden Sie ein Codefragment, das bei einem erfolgreichen Versuch eindeutig auf der Seite vorhanden ist (z. B. der Code des "Exit "von der Website).

4. Setzen Sie dann ggf. Cookies . Was ist das - wir lesen in Wikipedia. Kopieren Sie sie aus dem Browser in das Programm.
Um die Treue zu gewährleisten, müssen Sie zuerst die Cookies der angegriffenen Site vollständig löschen, dann zu ihr gehen und nur dann kopieren. Cookies werden normalerweise von der Website überprüft, um sicherzustellen, dass Sie kein Roboter sind.

5. Was die Art der Suche anbelangt , denke ich, dass alles klar ist.
Wenn Sie ein Konto abholen müssen, geben Sie den Anmeldenamen ein und geben Sie die Datei mit Passwörtern an .
Wenn mehrere Konten vorhanden sind, benötigen Sie eine Datei, in der Benutzername und Kennwort durch ein Trennzeichen voneinander getrennt sind. Beispiel:
Mit einem Angriff auf 1 Passwort denke ich, dass Sie es selbst herausfinden werden.

Zitat
login1; password1
login2; password2
login3; password3



Wenn Sie auf der angegriffenen Site über ein funktionierendes Konto verfügen, seien Sie nicht faul - testen Sie das Programm darauf.

Ein deutlicher Hinweis darauf, dass das Programm falsch konfiguriert ist, ist die Situation, wenn alle Versuche korrekt sind (die Ergebnisse werden im Feld "Programmprotokoll" angezeigt). Überprüfen Sie in diesem Fall die Parameter.
[Konfigurationsbeispiel für mail.ru brut]
Wie gesagt: "Ski fahren nicht Ski, ich ....

Ps. In Cookies werden Variablen automatisch abgerufen, wenn mail.ru aufgerufen wird. Wie ich herausgefunden habe, können die Werte dieser Felder beliebig sein, denn wenn ein Login auf ihre Existenz geprüft wird, und nicht auf den Inhalt.


software.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]