This page has been robot translated, sorry for typos if any. Original content here.

[Web] Brute Forcer v1.1

[Web] Brute Forcer v1.1



[Caractéristiques]
[+] Méthode Brute POST
[+] Brut avec la méthode GET
[+] Brute Basic-Authorization (par la méthode HEAD )
[+] Brut FTP
[+] Multithreading (1 ~ 1000 threads)
[+] Possibilité de définir des variables de requête supplémentaires (GET / POST).
[+] Possibilité d'installer des cookies.
[+] Brute utilisant un proxy (rotateur de proxy intégré avec fonction de vérification automatique et autoswitch personnalisable)
[+] 3 modes d'attaque:
- Attaque 1 login
- Attaque de plusieurs connexions
- Attaque sur 1 mot de passe


[Caractéristiques supplémentaires]
[+] Navigateur HTML intégré avec mise en surbrillance des balises d'entrée et affichage des en-têtes reçus du site.
[+] Gestionnaire de dictionnaire (Génération, épissage, répartition)


[Notes]
- Le programme nécessite .NET Framework> 2.0
- Les paramètres sont stockés dans le fichier Config.xml
- Vous pouvez supprimer des éléments enregistrés de ComboBox en appuyant sur Ctrl + Suppr.
- Lors de l'exécution avec la clé / oldstyle, le programme aura un ancien style de conception.
- Lorsque vous changez l'onglet GUI un peu podtormazhivaet.
- Essayez de ne pas utiliser de caractères cyrilliques dans l'indicateur (car certains sites envoient un mauvais encodage dans l'en-tête). - Le programme est toujours cru, donc j'espère pour vos conseils / pépins trouvés.


[Manuel pour les débutants]
Vous devez transférer les données du formulaire Web vers le programme.
Pour ce faire, ouvrez le tri de la page et recherchez la balise <form> (il peut y avoir plusieurs de ces balises, vous devez donc vous assurer que c'est le formulaire.).

1. Dans cette balise <form>, recherchez l'attribut d' action . C'est l' URL de destination . S'il n'y a pas un tel attribut, copiez l'URL de la page que nous avons ouverte. Il y a aussi un attribut de méthode . Si c'est POST , alors nous définissons la méthode Protocol / Attack à HTTP-POST , si GET est HTTP-GET . (Notez que toutes les transitions GET sont stockées dans les journaux du serveur, de sorte que le fait de brutus est susceptible d'être rapidement reconnu par la taille croissante des journaux.)

2. Ensuite, à l' intérieur de notre balise <form>, nous recherchons les balises <input> (il y a une surbrillance dans le Browser). Ce sont les soi-disant champs. Nous devons obtenir les champs d'identifiants, c'est-à-dire les champs dans lesquels le nom d'utilisateur et le mot de passe sont envoyés lors de l'envoi au serveur.
Nous recherchons l'attribut name dans la balise <input> . Si son contenu est similaire à login , pseudo , nom d'utilisateur, etc. (Je pense que l'essence est comprise), alors c'est le domaine de la connexion. Copiez l'attribut name dans le champ " Login" de notre programme.
De même, nous entrons dans le champ "mot de passe" (il aura probablement le nom passe , mot de passe , pwd , etc.).
Vous devez également transférer des champs supplémentaires (attributs name et value ) dans la section Additional-request-variables .
S'il y a un <input> dans la balise <form> avec le type type = "submit" , alors c'est le bouton de connexion. Nous transférons ses attributs au programme dans la section " Attributs de Submit-Buttons ".
Si une balise <input> n'a pas l'attribut name, cela ne nous intéresse pas.

3. Ensuite, vous devez définir un indicateur de texte pour la connexion réussie .
C'est un paramètre important et pour chaque site c'est différent. Pour cet indicateur, le programme décidera si une connexion réussie s'est produite ou non. Autrement dit, si le texte spécifié est manquant / présent dans la page source de la page, alors la connexion est considérée comme réussie.
Si vous avez un compte sur le site attaqué, utilisez un fragment de code qui est unique dans la page lorsque la tentative est effectuée avec succès (par exemple, le code du bouton "Quitter"). "du site).

4. Ensuite, si nécessaire, définissez les cookies . Qu'est-ce que c'est - lu dans Wikipedia. Copiez-les du navigateur au programme.
Pour être fidèle, vous devez d'abord effacer complètement les cookies du site attaqué, puis y accéder, puis le copier. Habituellement, les contrôles de cookies sont effectués par le site afin de s'assurer que vous n'êtes pas un robot.

5. Quant au type de buste , je pense que tout est clair.
Si vous devez sélectionner un compte, entrez votre identifiant et spécifiez un fichier avec des mots de passe .
S'il y a plus d'un compte , vous avez besoin d'un fichier dans lequel le nom d'utilisateur et le mot de passe sont séparés par un séparateur , par exemple:
Avec une attaque sur 1 mot de passe, je pense que c'est à vous de le comprendre.

Citation
login1, password1
login2; mot de passe2
login3; mot de passe3



Si vous avez un compte de travail sur le site attaqué, ne soyez pas fainéant - assurez-vous de tester le programme sur celui-ci.

Un indicateur clair que le programme n'est pas configuré correctement est la situation lorsque toutes les tentatives sont correctes (les résultats sont affichés dans le champ du journal du programme). Si cela se produit, revérifiez les paramètres.
[Exemple de réglage pour brut mail.ru]
Comme ils disent, "ils ne vont pas skier, je suis cendré ..."

PS. dans les cookies - variables reçues automatiquement lors de la visite mail.ru. Comme je l'ai découvert, les valeurs de ces champs peuvent être quelconques, puisque lorsque vous vous connectez, il y a une vérification de leur existence, pas de leur contenu.


software.gif [Web] Brute Forcer v1.1
webbruteforcer.zip [50 kb]