This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Eigenschaften]
[+] Brutale Methode POST
[+] Brut GET
[+] Brutale Basisautorisierung ( HEAD- Methode)
[+] Brutus FTP
[+] Multithreading (1 ~ 1000 Threads)
[+] Möglichkeit, zusätzliche Anforderungsvariablen (GET / POST) festzulegen.
[+] Die Möglichkeit, Cookies zu setzen.
[+] Brutus mit einem Proxy (eingebauter Proxy-Rotator mit Avtochek-Funktion und benutzerdefiniertem Auto-Change)
[+] 3 Angriffsmodi:
- Attacke 1 Login
- Greife mehrere Logins an
- Angriff auf 1 Passwort


[Zusätzliche Funktionen]
[+] Eingebauter einfacher HTML-Browser mit Hervorhebung von Eingabe-Tags und Anzeige von Kopfzeilen, die von der Site empfangen wurden.
[+] Dictionary Manager (Generieren, Kleben, Pannen)


[Notizen]
- Programm benötigt .NET Framework> 2.0
- Einstellungen werden in der Datei Config.xml gespeichert
- Gespeicherte Elemente aus der ComboBox können durch Drücken von Strg + Entf gelöscht werden.
- Wenn das Programm mit dem Schalter / oldstyle gestartet wird, hat es den alten Stil.
- Beim Wechseln der Registerkarte wird die grafische Benutzeroberfläche etwas langsamer.
- Versuchen Sie, keine kyrillischen Zeichen im Indikator zu verwenden (da einige Sites die falsche Kodierung im Header senden). - Das Programm ist noch roh, also hoffe ich auf eure Ratschläge / Pannen.


[Handbuch für Anfänger]
Es ist notwendig, die Web-Formulardaten an das Programm zu übertragen.
Öffnen Sie dazu die Seite "Sortierungen" und suchen Sie das <form> -Tag (möglicherweise gibt es mehrere dieser Tags. Sie müssen also sicherstellen, dass dies das richtige Formular ist.)

1. Suchen Sie in diesem <form> -Tag nach dem Aktionsattribut . Dies ist die Ziel-URL . Wenn es kein solches Attribut gibt, kopieren wir die URL der Seite, von der aus wir die Seite geöffnet haben. Es gibt auch eine Attributmethode. Wenn es sich um POST handelt , setzen Sie die Protokoll- / Angriffsmethode auf HTTP-POST , wenn GET auf HTTP-GET festgelegt ist . (Beachten Sie, dass alle Übergänge, die die GET-Methode verwenden, in Serverprotokollen gespeichert werden, sodass die Tatsache von brut am wachsenden Umfang der Protokolle höchstwahrscheinlich schnell erkannt wird.)

2. Dann suchen wir in unserem <form> -Tag nach <input> -Tags (im Browser ist eine Hintergrundbeleuchtung vorhanden). Dies sind die sogenannten Felder. Wir müssen die Felder der Kennungen abrufen, dh die Felder, in denen der Benutzername und das Kennwort beim Senden an den Server übertragen werden.
Wir suchen nach dem Attribut name im Tag <input> . Wenn sein Inhalt Login , Spitzname , Benutzername usw. ähnelt. (Ich denke, sie haben die Essenz verstanden), das ist das Login-Feld. Kopieren Sie das Namensattribut in das " Login" -Feld " " unseres Programms.
Wir machen dasselbe mit dem Feld "password" (es wird wahrscheinlich pass , password , pwd usw. heißen).
Sie müssen auch zusätzliche Felder ( Name- und Wertattribute) in den Abschnitt Zusätzliche Anforderungsvariablen übertragen .
Wenn sich innerhalb des <form> -Tags ein <input> mit type = "submit" befindet , ist dies die Anmeldeschaltfläche. Wir übertragen seine Attribute in das Programm im Abschnitt " Attribute des Submit-Buttons ".
Wenn ein <input> -Tag kein Namensattribut hat, interessiert es uns nicht.

3. Anschließend müssen Sie ein Textkennzeichen für eine erfolgreiche Anmeldung setzen .
Dies ist ein wichtiger Parameter und für jeden Standort unterschiedlich. Anhand dieses Indikators entscheidet das Programm, ob eine erfolgreiche Eingabe stattgefunden hat oder nicht. Das heißt, wenn der angegebene Text in der Quelle der Seite fehlt / vorhanden ist, wird die Anmeldung als erfolgreich angesehen.
Als Indikator können Sie ein Formularcodefragment verwenden (da es bei einem erfolgreichen Versuch sicherlich nicht auf der Seite angezeigt wird) oder, wenn Sie ein Konto auf der angegriffenen Website haben, ein Codefragment, das bei einem erfolgreichen Versuch eindeutig auf der Seite vorhanden ist (z. B. den Code der Schaltfläche "Beenden"). "von der Site).

4. Setzen Sie dann gegebenenfalls Cookies . Was ist das - wir lesen in Wikipedia. Kopieren Sie sie vom Browser in das Programm.
Für die Wiedergabetreue müssen Sie zuerst die Cookies der angegriffenen Site vollständig löschen, dann zu ihr gehen und sie dann kopieren. Cookies werden in der Regel von der Website überprüft, um sicherzustellen, dass Sie kein Roboter sind.

5. Was die Art der Suche betrifft , denke ich, dass alles klar ist.
Wenn Sie 1 Konto abholen müssen, geben Sie das Login ein und geben Sie die Datei mit den Passwörtern an .
Wenn es mehrere Konten gibt , benötigen Sie eine Datei, in der Login und Passwort durch ein Trennzeichen voneinander getrennt sind. Beispiel:
Ich denke, Sie werden es mit dem Angriff auf 1 Passwort selbst herausfinden.

Zitat
login1; password1
login2; password2
login3; password3



Wenn Sie ein funktionierendes Konto auf der angegriffenen Site haben, seien Sie nicht faul - testen Sie das Programm unbedingt darauf.

Ein klarer Hinweis darauf, dass das Programm falsch konfiguriert ist, ist die Situation, in der alle Versuche korrekt sind (die Ergebnisse werden im Programmprotokollfeld angezeigt). In diesem Fall überprüfen Sie die Parameter erneut.
[Konfigurationsbeispiel für mail.ru brut]
Wie sie sagen, "Skier fahren nicht Ski, ich ...

Ps. In Cookies werden Variablen automatisch abgerufen, wenn Sie mail.ru besuchen. Wie ich herausgefunden habe, können die Werte dieser Felder beliebig sein, da bei der Prüfung eines Logins nicht der Inhalt, sondern dessen Existenz überprüft wird.


software.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]