Fuerza Bruta con Wfuzz y Tuenti [DUDAS]

Iniciado por mordiskos, 28 Enero 2010, 20:28 PM

0 Miembros y 3 Visitantes están viendo este tema.

mordiskos

Hola!

Os cuento, esta mañana me he puesto a pensar y se me ha ocurrido que una password del Tuenti se podria sacar sabiendo el email y con algun programa tipo Wfuzz. Pues me lo he bajado, he creado un archivo de texto en el que he escrito varias palabras al azar y entre ellas mi password valida. He abierto el programa, le he puesto los parametros necesarios (incluyendo el que me metiera los resultados en un .html) y lo he ejecutado.

Tras varios intentos, he ido a acceder a mi cuenta y "se habia dado cuenta" de lo que he estado haciendo, me ha pedido introducir mi password de nuevo y un captcha para verificar.

Total, que me he puesto a indagar por internet y he visto que Tuenti ya ha corregido este fallo.

Ahora viene mi pregunta, que es mas por simple curiosidad que otra cosa: ¿Existe alguna manera de burlar estas protecciones, de saltarlas?, porque he buscado en google y no se me ocurre que mas palabras poner, no encuentro nanai!

Salu2!

kamsky

hace unos meses era vulnerable, busca el hilo no andará muy lejos, pero afortunadamente parcheó y ese hilo se cerró :P

no creo que por ahí haya mucho más que hacer, ya que tras un número X de intentos se bloqueará la cuenta, así que adios automatización y brute-force
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

Debci

Cita de: kamsky en 28 Enero 2010, 20:34 PM
hace unos meses era vulnerable, busca el hilo no andará muy lejos, pero afortunadamente parcheó y ese hilo se cerró :P

no creo que por ahí haya mucho más que hacer, ya que tras un número X de intentos se bloqueará la cuenta, así que adios automatización y brute-force
Y si lo hacemos bajo una cuenta que noe s nuestra se la bloqueamos a otro?

Saludos

kamsky

supongo que si, no tengo tuenti, pero lógico que se bloquee o en su defecto implemente algún mecanismo que impida hacer brute-force
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

mordiskos

Gracias por contestar, el hilo ese que comentais tambien lo he encontrado pero lo que dicen es lo que ya habia hecho yo.

Efectivamente, si se lo haces a una cuenta que no es la tuya tambien se bloquea, pero lo unico que hace es pedirte tu clave de nuevo y te hace introducir un codigo para comprobar que eres tu...asique me imagino que implementando un sistema parecido al que usa el JDownloader con los captchas de megaupload se podria hacer.

Mi pregunta final era mas de tipo general, es decir, que no quiero saber como sacar una password del tuenti, sino que me interesaria saber si existe alguna manera posible de eludir una proteccion "anti-fuerza bruta" por decirlo de alguna manera.

Salu2!

kamsky

es que no hay una única medida anti fuerza-bruta, entonces no hay algo genérico, en cada caso tendrás que optar por una u otra cosa, por ejemplo algunas medidas pueden ser:

- ralentizar la velocidad de la conexión contra más intentos fallidos hagas
- bannear ip's después de X intentos
- detectar peticiones automatizadas para filtrarlas
- captchas
- ...

cada una de estas medidas tienen que abordarse de formas distintas, aunque no es fácil y si están bien implementadas tendrás que optar por otra cosa que no sea fuerza bruta
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

mordiskos

#6
Entiendo...ya me imaginaba que no seria cosa facil, pero me alegro, asi me encuentro mas seguro.

Teniendo en cuenta el ejemplo del tuenti, que como he dicho antes, utiliza un sistema que a los 8 intentos (creo), "bloquea" la cuenta, siendo necesario introducir un codigo captcha para poder acceder. Teniendo esto en cuenta, si el Wfuzz, incluyera ademas un modulo para reconocer estos codigos, no habria dificultades, no?

Es decir, el Wfuzz se conectaria a la pagina de login del tuenti, entraria el email y la primera palabra del diccionario, al ver que el servidor dice que es incorrecta, probaria con la siguiente y asi hasta 8 intentos, en los que el propio Wfuzz, segun la respuesta del servidor se daria cuenta que lo que le esta pidiendo para entrar, a parte del email y el password, es el captcha, aqui entraria en funcionamiento el "modulo" para reconocer captchas (al estilo jdownloader con megaupload) y volveria a intentarlo de nuevo hasta los 8 intentos.

Pregunto, esto seria posible???

Perdon por el tochacho!?

Salu2!

kamsky

si, si sería posible si consigues crear un módulo que bypasee los captchas
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

j.garcia2

Hola esto es interesante entre unos cuantos podiamos ver como hacerlo por cierto esta web: http://www.cod3g.com asegura dar las contraseñas a cambio de pagar esto puede ser cierto?
saludos.
BLOG DE INFORMÁTICA E INTERNET:
http://www.zonainformatica.org

mordiskos

Cita de: j.garcia2 en 30 Enero 2010, 16:24 PM
Hola esto es interesante entre unos cuantos podiamos ver como hacerlo por cierto esta web: http://www.SPAM(115) asegura dar las contraseñas a cambio de pagar esto puede ser cierto?
saludos.

Puede que sea cierto, pero lo que yo busco es aprender a hacerlo yo, y entenderlo.