duda sobre Herramienta de fuerza bruta

Iniciado por Tservidor, 2 Junio 2016, 18:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Tservidor

Tengo una duda , para hacer fuerza bruta se necesita un diccionario y el ataque se basa en ir probando las palabras que hay en ese diccionario , pero ¿se podria hacer que probase todas las combinaciones posibles hasta dar con la clave correcta? es decir sin necesidad de un diccionario , que lo pruebe todo no solo lo del diccionario

Gracias amigos

engel lex

se usa diccionario para resumir las probabilidades... si se puede intentar todo pero en tiempo es inutil

explico

imagina una contraseña de 6 dígitos mayúsculas, minúsculas y números,  esto son 62 cifras, par redondear 64 (26) esto a la vez debe ser 6 veces asi que es 646 (266 = 26*6 = 236) que se traduce en 68.719.476.736 posibilidades

supongamos que tienes un sistema hiper eficiente capaz de probar 100.000 de posibilidades por segundo, aun estarías 687.194 segundos intentando, unos 8 dias

pero se años realistas, con un muy buen sistema capaz llegues a 20k pasa/seg que es 1/5 de ese calculo... y eso sin agregarle el 7mo digito, eso sería agarrar el tiempo que ya tienes y multiplicarlo por 64 (8 dias ahora serian unos 512+8) y así en mas...

por esas razones fuerza bruta normalmente ni si quiera es tomado en cuenta
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Tservidor

Aja , gracias por estos datos , es que estoy viendo Mr Robot y Elliot utiliza fuerza bruta pero tiene un script que va buscando la contraseña , no utiliza un diccionario con unas palabras ya puestas con antelación , por eso preguntaba si habia algo parecido , Gracias!

engel lex

#3
en hecho si usa un diccionario (el que hace con los datos que averigua de la persona), solo que no usa programas standard, sino scripts propios
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Tservidor

#4
Aja , pues eso lo he intentado yo , he cogido fechas de nacimiento , nombres de mascotas , de todo de la persona a la que quiero atacar , y nada , y tampoco estoy utilizando un programa clasico estoy usando un script modificado , pero ya veo que la fuerza bruta no vale para mucho

el-brujo

Citarestoy viendo Mr Robot y Elliot utiliza fuerza bruta [..]

jaja justo ahora estaba viendo esto:

[youtube=640,360]https://www.youtube.com/watch?v=vR1ktfzlsug[/youtube]

Los ataques por fuerza bruta a servicios web hoy en día prácticamente no tienen sentido, porque están implementados mecanismos de defensa, como Fail2Ban o sistemas de Captcha (imagen de verificación) para verificar que las peticiones son humanas y no automáticas o de robots.

http://blog.elhacker.net/2014/05/instalar-y-configurar-fail2ban.html

Ni hotmail, ni gmail, ni el propio foro xD te van a dejar probar más de 10 combinaciones sin bloquearte temporalmente el acceso por intentos fallidos....

Sin embargo los ataques por fuerza bruta a contraseñas (hashes) si son muy utilizados con diccionarios y variaciones o con ataques con tablas predefinidas con un algoritmo, como las tablas "Rainbow". Ya que aquí puedes hacer todos los intentos o combinaciones que quieras, ya que es suele ser en local, y no hay ninguna restricción, tan sólo la potencia de tu CPU, bueno más bien dicho de tu GPU que es la que realmente es capaz de hacer más combinaciones en menos tiempo.


http://blog.elhacker.net/search/label/cuda

Medusa: herramienta para realizar ataques por fuerza bruta
http://blog.elhacker.net/2015/06/medusa-herramienta-para-realizar.html

Tservidor

#6
Muy bueno el documental , lo vi antes de empezar con la serie , aja , y como consigo el hash de una cuenta en facebook (por ejemplo) para posteriormente realizar el ataque ,si es que te he entendido bien....

Gracias

el-brujo

Si sigues en esta línea de preguntar lo primero que se te pase por la cabeza sin antes investigar o leer documentación acabarás baneado del foro.

Lee cómo hacer preguntas inteligentes y temas similares, por dónde empezar, etc.

Para conseguir el hash de la cuenta de facebook primero tendrías que obtener la  base de datos de Facebook con sus respectivos salts, cosa que se me antoja un tanto complicada, por no decir imposible.