[Web] Brute Forcer v1.1
[Web] Brute Forcer v1.1
[Features]
[+] Methode Brutus POST
[+] Methode Brutus GET
[+] Brutus Grund-Zulassung (HEAD - Methode)
[+] Brutus FTP
[+] Multithreading (Ströme 1 ~ 1000)
[+] Möglichkeit zusätzliche Request (GET / POST) Variablen zu installieren.
[+] Möglichkeit Plätzchen Installation.
[+] Brutus mit Proxy (Proxy-Rotator mit Funktion eingebaut und einstellbar avtocheka avtosmenoy)
[+] 3 Attack-Modus:
- Angriff 1 Login
- Angriff mehrere Logins
- 1-Angriff
[Zusätzliche Features]
[+] Eingebauter Browser einfache HTML-Input-Tag mit Hintergrundbeleuchtung und Display-Header von der Website erhalten.
[+] Dictionary Manager (Generation, Kleben, Abbau)
[Notizen]
- Das Programm .NET Framework erfordert> 2.0
- Die Einstellungen werden in Config.xml gespeichert
- Lagergut von ComboBox'ov kann durch Drücken von Strg + Entf entfernt werden.
- Wenn Sie mit einem Schlüssel / Oldstyle-Programm starten wird den alten Stil der Dekoration haben.
- Beim Wechsel tab'a GUI leicht verzögern.
- Versuchen Sie kyrillischen Zeichen nicht zu verwenden, um anzuzeigen (wie einige Websites, die falsche Codierung im Header senden). - Das Programm ist noch roh, so dass ich hoffe, für Ihre Beratung / Glitches gefunden.
[Das Handbuch für Einsteiger]
Es ist notwendig, die Web-Formulardaten in das Programm zu bewegen.
Dazu öffnen sortsy Seite zu tun , und das Tag <form> finden (diese Tags können ein wenig, so dass Sie müssen dafür sorgen , dass dies die Form ist.).
1. In dieser <form> Tag suchen das action - Attribut. Dies ist die Ziel - URL. Wenn dieses Attribut nicht vorhanden ist, kopieren Sie die URL der Seite sortsy, die wir geöffnet. Auch gibt es ein Verfahren Attribut. Wenn es ein POST ist, Protokoll / Angriffsmethode zeigt , ist gleich HTTP-POST, wenn die GET - HTTP-GET. (Beachten Sie, dass alle Übergänge auf der GET - Methode in den Server - Logs gespeichert werden, so dass eine nackte Tatsache wahrscheinlich auf das Wachstum der Größe der Protokolle schnell zu lernen.)
2. Dann in unserem <form> Tag suchen Tags <input> (Browser ist leuchtet). Dieses so genannte Feld. Wir brauchen die Feldkennung zu erhalten, dh Felder, die Benutzername und Passwort übergeben werden, wenn an den Server sendet.
Wir suchen nach dem Tag <input> Attributnamen. Wenn sein Gehalt ist ähnlich anmelden, Nickname, Benutzername und so. (Ich glaube, das Wesen der Idee), dann ist dies das Login-Feld. Kopieren Sie das Namensattribut im "Feld" Login "," unser Programm.
Ebenso gehen wir mit dem Feld "Passwort" (wahrscheinlich wird es den Namen des Passes haben, das Passwort PWD, etc.).
So ist es notwendig , zusätzliche Felder (Name und Wert Attribute) im Abschnitt Zusätzliche Anfrage-Variablen zu übertragen.
Wenn innerhalb der <form> -Tag ein <input> des Typs Typ hat = "submit", dann ist dies die Login - Button. Wir übertragen sie an die Programmattribute in "Attribute Submit-Button" Abschnitt.
Wenn eine <input> -Tag nicht der Attributname ist, wird die es interessiert uns nicht.
3. Dann müssen Sie den Texteingabe Indikator für den Erfolg zu setzen.
Dies ist eine wichtige Option, und es ist für jeden Standort. Nach diesem Indikator wird das Programm entscheiden, ob ein erfolgreicher Eingabe aufgetreten. Das heißt, wenn kein Text ukazynny / in der Quellcode der Seite ist, die Anmeldung erfolgreich ist.
Als Indikator, können Sie ein Fragment des Codes des Formular verwenden (wie es bekannt ist, auf der Seite zu fehlen, wenn ein erfolgreicher Versuch), oder wenn Sie ein Konto auf dem Opfer-Website haben, verwenden Sie den Code, der einzigartig in der Seite ist, wenn ein erfolgreicher Versuch (zB Code "Exit-Button "von der Website).
4. Dann Plätzchen aussetzen , wie gebraucht. Was ist das - lesen Sie auf Wikipedia. Kopieren Sie sie aus dem Browser-Programm.
Um sicher zu sein, müssen Sie zuerst alle Cookies löschen griffen die Website, dann gehen Sie zu ihm, und dann später zu kopieren. Normalerweise Inspektionen von Cookies Website werden durchgeführt, um sicherzustellen, dass Sie kein Roboter sind.
5. Im Hinblick auf die Sortiertyp, dann denke ich , ist alles klar.
Wenn Sie ein Konto auswählen möchten, geben Sie den Benutzernamen und geben Sie die Datei mit Passwörtern.
Wenn mehr als ein Konto, müssen Sie eine Datei , in der der Benutzername und das Passwort durch einen Separator getrennt sind, zum Beispiel:
Mit dem Angriff auf Passwort 1 schon denke ich verstehen.
Zitat
login1; password1
login2; parol2
login3; parol3
login2; parol2
login3; parol3
Wenn Sie ein Arbeitskonto auf dem Opfer - Website haben, seien Sie nicht faul - immer die Software auf sie zu testen.
Ein klares Indiz dafür , dass das Programm eingerichtet ist nicht wahr, wenn alle Versuche , korrekt sind (die Ergebnisse sind in der Programmprotokoll gezeigt). Wenn dies der Fall ist , prüfen Parameter.
[Beispieleinstellung für Brutus mail.ru]
Wie das Sprichwort sagt, "nicht Skifahren toli gehen, toli me ...." PS. in Cookies - Variablen automatisch erhalten, wenn mail.ru. Besuch Als ich herausfand, können die Werte dieser Felder beliebig sein, da es eine Überprüfung auf Login, um ihre Existenz, und nicht der Inhalt.
[Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]
Kommentare
Kommentar nicht vergessen , dass der Inhalt und der Ton Ihrer Nachrichten , die Gefühle von echten Menschen verletzen können, Respekt und Toleranz gegenüber seinen Gesprächspartnern, auch wenn Sie Ihr Verhalten in Bezug auf die Meinungsfreiheit ihre Meinung nicht teilen, und die Anonymität des Internets, ändert sich nicht nur virtuell, sondern realen Welt. Alle Kommentare werden aus dem Index, Spam - Kontrolle versteckt.