This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Eigenschaften]
[+] Brute-Methode POST
[+] Brut mit der GET- Methode
[+] Brute Basic-Authorization (nach der HEAD- Methode)
[+] Brut FTP
[+] Multithreading (1 ~ 1000 threads)
[+] Möglichkeit, zusätzliche Request (GET / POST) Variablen zu setzen.
[+] Möglichkeit, Cookies zu installieren.
[+] Brute mit Proxy (eingebauter Proxy-Rotator mit Auto-Check-Funktion und anpassbarem Auto-Switch)
[+] 3 Angriffsmodi:
- Angriff 1 Login
- Angriff mehrerer Logins
- Angriff auf 1 Passwort


[Zusätzliche Funktionen]
[+] Eingebauter einfacher HTML-Browser mit Hervorhebung von Eingabemarken und Anzeigen von Kopfzeilen, die von der Site empfangen wurden.
[+] Dictionary Manager (Generierung, Splicing, Breakdown)


[Hinweise]
- Das Programm benötigt .NET Framework> 2.0
- Einstellungen werden in der Datei Config.xml gespeichert
- Sie können gespeicherte Objekte aus der ComboBox löschen, indem Sie Strg + Entf drücken.
- Wenn Sie mit der Taste / oldstyle arbeiten, hat das Programm einen alten Stil.
- Wenn Sie die Registerkarte ein GUI ein wenig podtormazhivaet ändern.
- Versuchen Sie nicht, kyrillische Zeichen im Indikator zu verwenden (da einige Websites die falsche Codierung im Header senden). - Das Programm ist immer noch roh, also ich hoffe auf Ihren Rat / gefundene Störungen.


[Anleitung für Anfänger]
Sie müssen die Daten aus dem Webformular in das Programm übertragen.
Öffnen Sie dazu die Seitensortierung und suchen Sie das <form> -Tag (möglicherweise gibt es mehrere dieser Tags, Sie müssen also sicherstellen, dass dies das Formular ist.).

1. Suchen Sie in diesem <form> -Tag nach dem Aktionsattribut . Dies ist die Ziel-URL . Wenn kein solches Attribut vorhanden ist, kopieren Sie die URL der Seite, die wir geöffnet haben. Außerdem gibt es ein Methodenattribut . Wenn es POST ist , setzen wir die Protokoll / Angriffsmethode auf HTTP-POST , wenn GET HTTP-GET ist . (Beachten Sie, dass alle GET-Übergänge in den Logs des Servers gespeichert werden, so dass die Tatsache, dass Brutus wahrscheinlich bald von der wachsenden Größe der Logs erkannt wird.)

2. Dann suchen wir in unserem <form> -Tag nach den <input> -Tags (es gibt ein Highlight im Browser). Dies sind die sogenannten Felder. Wir müssen die Felder der Kennungen abrufen, dh die Felder, in denen der Benutzername und das Kennwort gesendet werden, wenn sie an den Server gesendet werden.
Wir suchen nach dem Namensattribut im <input> -Tag. Wenn der Inhalt ähnlich ist wie Login , Nickname , Benutzername und so weiter. (Ich denke die Essenz ist verstanden), dann ist dies das Feld des Logins. Kopieren Sie das Namensattribut in das Feld " Login" unseres Programms.
Genauso geben wir das Feld "password" ein (es wird wahrscheinlich den Namen pass , password , pwd usw. haben).
Sie müssen außerdem zusätzliche Felder ( Name- und Wertattribute) in den Abschnitt Zusätzliche Anforderungsvariablen übertragen .
Wenn im Tag <form> ein <input> mit dem Typ type = "submit" vorhanden ist , dann ist dies der Login-Button. Wir übertragen seine Attribute in das Programm im Abschnitt " Attribute von Submit-Buttons ".
Wenn ein <input> -Tag nicht das name-Attribut hat, interessiert es uns nicht.

3. Dann müssen Sie eine Textanzeige für die erfolgreiche Anmeldung festlegen.
Dies ist ein wichtiger Parameter und für jeden Standort ist es anders. Bei diesem Indikator wird das Programm entscheiden, ob eine erfolgreiche Anmeldung stattgefunden hat oder nicht. Das heißt, wenn der angegebene Text auf der Quellseite der Seite fehlt / vorhanden ist, wird die Anmeldung als erfolgreich angesehen.
Als Indikator können Sie das Codefragment des Formulars verwenden (da es auf der Seite mit Sicherheit nicht vorhanden sein wird) oder wenn Sie ein Konto auf der angegriffenen Website haben, ein Code-Snippet verwenden, das bei erfolgreichem Versuch eindeutig auf der Seite vorhanden ist (z. B. der Code für die Schaltfläche "Exit") "von der Website).

4. Setzen Sie dann bei Bedarf die Cookies . Was ist das - lesen Sie in Wikipedia. Kopieren Sie sie vom Browser in das Programm.
Um treu zu bleiben, müssen Sie zunächst die Cookies der angegriffenen Website vollständig löschen, dann darauf zugreifen und sie dann kopieren. In der Regel werden Cookie-Prüfungen von der Website durchgeführt, um sicherzustellen, dass Sie kein Roboter sind.

5. Was die Art der Büste angeht , denke ich, dass alles klar ist.
Wenn Sie 1 Konto auswählen müssen, geben Sie Ihr Login ein und geben Sie eine Datei mit Passwörtern an .
Wenn mehrere Konten vorhanden sind , benötigen Sie eine Datei, in der Benutzername und Kennwort durch ein Trennzeichen voneinander getrennt sind. Beispiel:
Mit einem Angriff auf 1 Passwort, denke ich, es liegt an dir, es herauszufinden.

Zitat
login1, passwort1
login2; passwort2
login3; passwort3



Wenn Sie ein funktionierendes Konto auf der angegriffenen Website haben, seien Sie nicht faul - achten Sie darauf, das Programm darauf zu testen.

Ein klarer Hinweis, dass das Programm nicht korrekt eingerichtet ist, ist die Situation, wenn alle Versuche korrekt sind (die Ergebnisse werden im Feld des Programmprotokolls angezeigt). Wenn dies auftritt, überprüfen Sie die Parameter erneut.
[Beispiel für die Einstellung von brut mail.ru]
Wie sie sagen, "sie gehen nicht Ski fahren, ich bin Asche ..."

PS. in Cookies - Variablen erhalten automatisch beim Besuch von mail.ru. Wie ich herausgefunden habe, können die Werte dieser Felder beliebig sein, da sie beim Anmelden auf ihre Existenz überprüft werden, nicht auf den Inhalt.


software.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]