This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Caractéristiques]
[+] Brute par la méthode POST
[+] Brute par la méthode GET
[+] Autorisation Brute Basic (utilisant la méthode HEAD )
[+] Brut FTP
[+] Multithreading (1 ~ 1000 threads)
[+] Possibilité de définir d'autres variables de requête (GET / POST).
[+] La possibilité de définir des cookies.
[+] Brute utilisant un proxy (rotateur de proxy intégré avec fonction de vérification automatique et de changement automatique personnalisé)
[+] 3 modes d'attaque:
- Connexion Attack 1
- Attaque de plusieurs logins
- Attaque avec 1 mot de passe


[Caractéristiques supplémentaires]
[+] Navigateur HTML simple intégré avec mise en évidence des balises d'entrée et affichage des en-têtes reçus du site.
[+] Dictionnaire Manager (Génération, collage, rupture)


[Notes]
- Le programme nécessite .NET Framework> 2.0
- Les paramètres sont stockés dans le fichier Config.xml.
- Les éléments sauvegardés dans les ComboBox peuvent être supprimés en appuyant sur Ctrl + Suppr.
- Lorsqu'il est lancé avec le commutateur / oldstyle, le programme reprend l'ancien style.
- Lors du changement de tab'a, l'interface graphique ralentit un peu.
- Essayez de ne pas utiliser de caractères cyrilliques dans l'indicateur (car certains sites envoient un mauvais codage dans l'en-tête). - Le programme est encore cru, j'espère que vos conseils / problèmes seront trouvés.


[Manuel pour débutants]
Vous devez transférer les données du formulaire Web au programme.
Pour ce faire, ouvrez la page et recherchez la balise <form> (il peut y avoir plusieurs de ces balises, vous devez donc vous assurer qu'il s'agit bien du formulaire exact.).

1. Dans cette balise <form>, nous recherchons l'attribut action . Ceci est l' URL de destination . S'il n'y a pas un tel attribut, copiez l'URL de cette page, que nous avons ouverte. Il existe également un attribut de méthode . S'il s'agit de POST , définissez la méthode de protocole / attaque sur HTTP-POST , si GET est HTTP-GET . (Notez que toutes les transitions GET sont stockées dans les journaux du serveur. Par conséquent, la brutalité est probablement rapidement reconnue par la taille croissante des journaux.)

2. Ensuite, dans notre balise <form>, nous recherchons des balises <input> (il est mis en surbrillance dans le navigateur). Ce sont les soi-disant champs. Nous devons obtenir les champs d'identifiant, c'est-à-dire les champs dans lesquels l'identifiant et le mot de passe sont transmis lors de l'envoi au serveur.
Nous recherchons l'attribut name dans la balise <input> . Si son contenu est similaire à login , pseudo , nom d'utilisateur , etc. (Je pense qu'ils ont compris l'essence), alors c'est le champ de connexion. Copiez l'attribut name dans le champ " Login" de notre programme.
Nous faisons la même chose avec le champ mot de passe (il aura probablement le nom passe , mot de passe , mot de passe , etc.).
Il est également nécessaire de transférer des champs supplémentaires ( nom et valeur des attributs) dans la section Variables de demande supplémentaires .
S'il y a une <entrée> avec type = "submit" à l'intérieur de la balise <form> , il s'agit du bouton de connexion. Nous transférons ses attributs au programme dans la section " Attributs du bouton Soumettre ".
Si une balise <input> n'a pas d'attribut name, cela ne nous intéresse pas.

3. Ensuite, vous devez définir l' indicateur de texte d'une connexion réussie .
C'est un paramètre important et pour chaque site, il est différent. Selon cet indicateur, le programme décidera si une connexion réussie a eu lieu ou non. C'est-à-dire que si le texte spécifié est manquant / présent dans la source de la page, la connexion est considérée comme réussie.
En guise d'indicateur, vous pouvez utiliser un extrait de code du formulaire (puisqu'il sera évidemment absent de la page lors d'une tentative réussie) ou, si vous possédez un compte sur le site attaqué, utilisez un extrait de code clairement présent dans la page lors d'une tentative réussie (par exemple, le code du bouton Quitter "du site).

4. Ensuite, définissez des cookies si nécessaire. De quoi s'agit-il - à lire sur Wikipedia. Copiez-les du navigateur vers le programme.
Pour rester fidèle, vous devez d'abord effacer complètement les cookies du site attaqué, puis y accéder et le copier ensuite. Habituellement, les cookies sont vérifiés par le site Web pour vous assurer que vous n'êtes pas un robot.

5. En ce qui concerne le type de recherche , je pense que tout est clair.
Si vous devez sélectionner un compte, entrez le nom d'utilisateur et spécifiez le fichier avec les mots de passe .
S'il existe plusieurs comptes , vous avez besoin d'un fichier dans lequel le nom d'utilisateur et le mot de passe sont séparés par un séparateur , par exemple:
Avec une attaque sur 1 mot de passe, je pense que vous allez le découvrir vous-même.

Citation
login1; mot de passe1
login2; mot de passe2
login3; mot de passe3



Si vous avez un compte actif sur le site attaqué, ne soyez pas paresseux, veillez à tester le programme dessus.

Un indicateur clair que le programme est configuré de manière incorrecte est la situation lorsque toutes les tentatives sont correctes (les résultats sont affichés dans le champ du journal du programme). Si cela se produit, vérifiez à nouveau les paramètres.
[Exemple de paramètres pour brut mail.ru]
Comme dit le proverbe, "les feutres de ski ne vont pas, je suis des feutres ..."

PS dans les cookies - variables obtenues automatiquement lors de la visite de mail.ru. Comme je l'ai découvert, les valeurs de ces champs peuvent être quelconques, car lors de la connexion, leur existence est vérifiée, et non leur contenu.


logiciel.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]