This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Caractéristiques]
[+] Méthode brutale POST
[+] Méthode Brut GET
[+] Autorisation de base brutale (méthode HEAD )
[+] Brutus FTP
[+] Multithreading (1 ~ 1000 threads)
[+] Possibilité de définir d'autres variables de requête (GET / POST).
[+] La possibilité de définir des cookies.
[+] Brutus utilisant un proxy (rotateur de proxy intégré avec fonction avtochek et changement automatique personnalisé)
[+] 3 modes d'attaque:
- Connexion Attack 1
- Attaquez plusieurs connexions
- Attaque sur 1 mot de passe


[Caractéristiques supplémentaires]
[+] Navigateur HTML simple intégré avec mise en surbrillance des balises d'entrée et affichage des en-têtes reçus du site.
[+] Dictionnaire Manager (Génération, collage, panne)


[Notes]
- Le programme nécessite .NET Framework> 2.0
- Les paramètres sont stockés dans le fichier Config.xml.
- Les éléments enregistrés dans ComboBox peuvent être supprimés en appuyant sur Ctrl + Suppr.
- Lorsqu'il est lancé avec le commutateur / oldstyle, le programme aura l'ancien style.
- Lors du changement d'onglet, l'interface graphique ralentit un peu.
- Essayez de ne pas utiliser de caractères cyrilliques dans l'indicateur (certains sites envoient un mauvais codage dans l'en-tête). - Le programme est encore cru, j'espère que vos conseils / problèmes seront trouvés.


[Manuel pour débutants]
Il est nécessaire de transférer les données du formulaire Web dans le programme.
Pour ce faire, ouvrez la page Tri et recherchez la balise <form> (il peut y avoir plusieurs de ces balises, vous devez donc vous assurer qu'il s'agit du bon formulaire.).

1. Dans cette balise <form>, recherchez l'attribut d' action . Ceci est l' URL cible . S'il n'y a pas un tel attribut, copiez l'URL de la page, la page de laquelle nous avons ouvert. Il existe également une méthode d' attribut. S'il s'agit de POST , définissez la méthode de protocole / attaque sur HTTP-POST , si GET est HTTP-GET . (Notez que toutes les transitions utilisant la méthode GET sont enregistrées dans les journaux du serveur. Par conséquent, le fait de brut est probablement rapidement reconnu par la taille croissante des journaux.)

2. Ensuite, dans notre balise <form>, nous recherchons des balises <input> (il y a un rétro-éclairage dans le navigateur). Ce sont les soi-disant champs. Nous devons obtenir les champs d'identificateurs, c'est-à-dire les champs dans lesquels l'identifiant et le mot de passe sont transmis lorsqu'ils sont envoyés au serveur.
Nous recherchons l'attribut name dans la balise <input> . Si son contenu est similaire à login , pseudo , nom d'utilisateur, etc. (Je pense que l’essence est comprise), c’est le champ de connexion. Copiez l'attribut name dans le champ "Login" " " de notre programme.
Nous faisons la même chose avec le champ "mot de passe" (il sera probablement nommé pass , mot de passe , mot de passe , etc.).
Vous devez également transférer des champs supplémentaires (attributs de nom et de valeur ) dans la section Variables de demande supplémentaires .
Si à l'intérieur de la balise <form> il y a une <entrée> avec type = "submit" , alors c'est le bouton de connexion. Nous transférons ses attributs au programme dans la section " Attributs du bouton Soumettre ".
Si une balise <input> n'a pas d'attribut name, cela ne nous intéresse pas.

3. Ensuite, vous devez définir un indicateur de texte indiquant une connexion réussie .
Ce paramètre est important et différent pour chaque site. Selon cet indicateur, le programme décidera si une entrée réussie a eu lieu ou non. C'est-à-dire que si le texte spécifié est absent / présent dans la source de la page, la connexion est considérée comme réussie.
En guise d'indicateur, vous pouvez utiliser un fragment de code de formulaire (puisqu'il sera certainement absent de la page si une tentative réussie est effectuée) ou, si vous avez un compte sur le site attaqué, utilisez un fragment de code uniquement présent dans la page lors d'une tentative réussie (par exemple, le code du "du site).

4. Ensuite, définissez des cookies si nécessaire. Qu'est-ce que c'est - nous lisons dans Wikipedia. Copiez-les du navigateur vers le programme.
Pour être fidèle, vous devez d'abord effacer complètement les cookies du site attaqué, puis y accéder, puis le copier. Les cookies sont généralement contrôlés par le site Web pour vous assurer que vous n'êtes pas un robot.

5. En ce qui concerne le type de recherche , je pense que tout est clair.
Si vous devez choisir un compte, entrez le nom de connexion et spécifiez le fichier avec les mots de passe .
S'il existe plusieurs comptes , vous avez besoin d'un fichier dans lequel le nom d'utilisateur et le mot de passe sont séparés par un séparateur , par exemple:
Avec une attaque sur 1 mot de passe, je pense que vous allez le découvrir vous-même.

Citation
login1; mot de passe1
login2; mot de passe2
login3; mot de passe3



Si vous avez un compte actif sur le site attaqué, ne soyez pas paresseux - veillez à tester le programme dessus.

Une indication claire que le programme est configuré de manière incorrecte est la situation lorsque toutes les tentatives sont correctes (les résultats sont affichés dans le champ du journal du programme). Si cela se produit, vérifiez à nouveau les paramètres.
[Exemple de configuration pour mail.ru brut]
Comme on dit, "les skis ne vont pas skier, je ....

Ps. dans les cookies, les variables obtenues automatiquement lors de la visite de mail.ru. Comme je l'ai découvert, les valeurs de ces champs peuvent être quelconques, car leur existence est vérifiée et non leur contenu.


logiciel.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]