hola les traigo una herramienta para inyectar pass en páginas web no tan seguras Ejemplo todas aquellas que utilizan un codigo de verificación de palabras o aquella que no posea ningun código de verificación ni conexiones SSL(seguridad de socket layer)
images de como usar :
inicio : dirigir con el navegador sin proxy a la web., rellenar los cambos de forma correcta menos la contraseña . ahora sigue estos pasos
paso 1 : configurar el navegador para utilizar el interprete de conexión
(http://img714.imageshack.us/img714/5264/96414669.png)
(http://img805.imageshack.us/img805/7946/85445223.png)
ejecutar el BX interpreter (en mi caso me equivoque y puse de user : textpacketxy es testpacketx,)
paso 2 ponemos estar al puerto 80 o el que se nos cante. y con el proxy ya configurado ponemos conectar ,enter o lo que sea determinado para iniciar el usuario
(http://img171.imageshack.us/img171/9528/73305161.png)
a continuación recibimos datos de la conexión , es lo que no sirve , pinchan en la listview la conexión deseada.
copiamos los datos y abrimos el packetx.exe
donde dice ip es el host sin el http, el host que nos larga el dato.
paso 3 configuramos el dato recibido con los comando.
donde dice conten - leng colocamos: %%lEN%%
respetando los espacios y bites que tenemos . un error al editar el contenido de forma incorrecta , la conexión es nula.
%%Start%%: es donde la tool comenzara la lectura de datos
%%End%%: termina la lectura de datos
$$INYECT##: es dato a inyectar del diccionario
%%Set_Range$$: esto es opcional , inyecta un numero random entre (99 *99)
ideal para manejar cokkies o cesiones de datos
i nos queda de esta forma
(http://img716.imageshack.us/img716/3879/42333248.png)
paso 4
colocamos la ruta del diccionario , por motivos de buffer solo posee la capacidad de 999999 palabras (no letras), clic en abrir y luego clic en star.
(http://img802.imageshack.us/img802/6831/98937123.png)
dentro de 2 segundos se ven los resultados
(http://img221.imageshack.us/img221/1764/79563965.png)
paso 5 (para facilitar un poco las cosas)
programe una herramienta para ver el contenido de un code gzip
llamado gzip.exe , muy facil de usar, solo hay q indicar la cantidad de conneciones que tenemos en el packetx
(http://img85.imageshack.us/img85/5163/76591626.png)
NOTA:teneis que habilitar en la parte de configuracion de packetx la casilla de interprete de gzip puerto 80 , si larga error , es porque tenemos el puerto 80 ocupado con otra aplicación
EJEMPLO:
VEMOS QUE Con la cadena choripan no hace efecto miren.
(http://img850.imageshack.us/img850/7420/60118982.png)
con la cadena rembolso(que es la contraseña del usuario testpacketx miren lo que aparece)
(http://img195.imageshack.us/img195/2049/43667084.png)
miren la parte de usuarios log : aparece testpacketx
atencion : EL CONJUNTO DE TODOS ESOS SOFT SEGURO TIENEN ERRORES , POR FAVOR IMFORMAR
LES PUSE LAS OCX para que funcione sin problemas , solo registrenlas.
descarga: (ocx,bx-interpreter,gzip,packetx, ejemplos)
http://www.filefactory.com/file/63wnhil8p35f/n/final.rar
te podria pasar un ID de una página que no tiene limite de intentos y me sacas la pass?
jeje no entiendo bien esto...
PASAME EL DICCIONARIO(LISTA DE CONTRASEÑAS) Y LA PAGINA WEB Y TE DIGO LOS RESULTADOS..
NOTA: TAMBIEN PASAME EL USUARIO.
saludos
Cita de: rembolso en 10 Abril 2012, 23:31 PM
PASAME EL DICCIONARIO(LISTA DE CONTRASEÑAS) Y LA PAGINA WEB Y TE DIGO LOS RESULTADOS..
NOTA: TAMBIEN PASAME EL USUARIO.
saludos
Cuando pongo la ruta del diccionario y pongo open, me aparece la lista pero al mismo tiempo me tira run time error 360 :xD
Mejor te paso el ID y la página y lo haces vos responde el mensaje privado ^^
Compañero en los ejemplos que incluye el paquete, hay codigo fuente de paginas web vulnerables a este ataque como para que el laboratorio quede completo, o alguien sabe de donde conseguir el codigo fuente de una o varias paginas vulnerables para que el lab nos quede full.
Hola reembolso, te puedo pedir un favor...
Es que quiero las contras de unos usuarios de una página web.
La página es www.hachasydados.es/foro
Lo que quiero son las contras de las siguientes Log:
Karlos
Marauder
Milotic
Solo necesito las cuentas del foro.
Si me puedes hacer el favor de lo agradezco mucho. =D
Me mandas los Logs por MP porfas.
Saludos! :D ;-)
Cita de: thealemet en 19 Mayo 2012, 01:17 AM
Hola reembolso, te puedo pedir un favor...
Es que quiero las contras de unos usuarios de una página web.
La página es www.hachasydados.es/foro
Lo que quiero son las contras de las siguientes Log:
Karlos
Marauder
Milotic
Solo necesito las cuentas del foro.
Si me puedes hacer el favor de lo agradezco mucho. =D
Me mandas los Logs por MP porfas.
Saludos! :D ;-)
(http://profile.ak.fbcdn.net/hprofile-ak-snc4/174866_184625181651299_1275931632_n.jpg)
El archivo ya no se puede descargar para revisar cómo funciona el proceso de brute force. Mi duda es si es una utilidad que sirva para esquemas de autenticado basado en formularios HTTP/HTML o también sirva para automatizar en BASIC HTTP..
Saludos.
Es un ataque por fuerza bruta, ni mas ni menos.
Saludos.