Здравствуйте дорогие пользователи Zhyk.ru!!!
Я увидел новую версию Ultimate Bruteforce и решил написать гайд потому что она отличается очень сильно от старой!!!
Для начала нам всем надо установить плагин:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Значит наша программа выглядит вот так:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Переходим в раздел настройки и видел там много всякого но нам половино из этого не нужно нам нужны только самые важные компоненты для нормальной настройки это:
1. Настройки ЛК - это обязательно !!!
2.SSL но это только для некоторых сайтов где сылка начинается с https:/
3.Proxy - для того чтобы избежать бана по своему ип!!!
4. Refferer - это обязательно !!!
5.Swap - это нам нужно для некоторых сайтов, когда их брутиш GOOD идут как ERROR или BAD так с этой настройкой мы можем этого избежать!!!
6.Brute URL - Это самая главная!!!
На скрине они все выделены красным цветом:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Где же нам взять настройки? Для этого нам поможет наш плагин.
Как его открыть? Да очень просто смотрим на скрин :
[Ссылки могут видеть только зарегистрированные пользователи. ]
Далее идём на наш сайт который будем брутить и заходим на наш аккаунт чтобы получить настройки! Для примера я взял сайт [Ссылки могут видеть только зарегистрированные пользователи. ]
Когда зашли в лк переходим в наш плагин и находим там вот такое :
[Ссылки могут видеть только зарегистрированные пользователи. ]
Нажимаем 2 раза на него и у нас открывается окошко с нашем Brute URL:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Копируем его и вставляем в нашел Ultimate в настройках в строку Brute URL:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Идём дальше... А дальше у нас настройки ЛК и также настройки Refferer. Их мы найдём в левом нижнем углу нашего плагина :
[Ссылки могут видеть только зарегистрированные пользователи. ]
Кликаем на каждый 2 раза и у нас откроется 2 окошка. 1 с настройками лк и 2 с Refferer!!!
[Ссылки могут видеть только зарегистрированные пользователи. ]
Тут не забываем ставить галочку на "Раскодированное"!!!
Копируем каждую строчку и вставляем в :
[Ссылки могут видеть только зарегистрированные пользователи. ]
После этого нажимаем "Применить настройки"!!!
Далее идём в окошко с Refferer:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Копируем его и вставляем в :
[Ссылки могут видеть только зарегистрированные пользователи. ]
Далее переходим в раздел базы:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Мы можем загружать базы 2 способами это:
1. Аккаунт;Пасс в 1 файле!
2. Аккаунт и Пасс раздельно в 2 файлах!
[Ссылки могут видеть только зарегистрированные пользователи. ]
Когда загрузили файл нажимаем на "Загрузить Базы" и ниже будет вся информация о нашей базе!!!
Теперь о детекторе:
В нем есть 2 данных, это текущий никнейм из базы и текст из поля Data. Допустим мы можем искать просто ник, но это плохая идея: допустим ник у нас strong, брут получает код страницы, но там куча тегов <strong> - соответственно он определит акк как сбрученный, чтобы этого избежать есть ТЕСТ МОД. Мы сначала делаем запрос с правильными данными - сохраняем данные в другой файл, а потом с неправильными и смотрим различия. Это может что то типо "Добро пожаловать" как в буллетине или какаято левая строка типо " ("window.location.href='"+ad+"?" как в укозе. Также мы можем поступить по другому. Например у нас нет валидной пары , и мы уверены, что настроили правильно - получаем код из тест мода от неправильной пары, а там есть что то типо "Неправильный пароль" - вставляем эту строку в Data и выбираем опцию "No Data". Если брут получит ненулевой ответ и в нем не будет этой строки он определит как гуд.
Далее идём в Управление и нажимаем "Начать" и наш брут начинает брутить!!!
Так же мы можем изменять потоки на скока нам угодно чтобы брутить быстрее !!!
Так же мы можем загружать уже готовые настройки и так же можем их сохранять!!!
Когда закончился брут нам нужно сохранить наш результат идём в раздел базы и сохраняем "Сбрученые" :
[Ссылки могут видеть только зарегистрированные пользователи. ]
Вот и всё вроде всё рассказал!
Если есть каки-это вопросы задавайте в этой теме !!!
Создетель программы: Z.Рэйзор
Автор темы: MasterPKxD
Скачать программу: [Ссылки могут видеть только зарегистрированные пользователи. ]
Последний раз редактировалось MasterPKxD; 30.09.2010 в 08:32.
Гуд. Не забываем про детектор - тут его опции значительно расширены.
И есть возможность настроить его не имея валидной пары логи/пасс. (например опция "No Data")
Вот плохо нету настроек : ; менять в програме -конещьно только этот и все а так программа нормальная и прилично работает
И как обойти каптчю Если еще будет анти каптча или что то типо этого будет очень хорошо
Смотрю ещё бета версия Автор Учти все что написано выше
Создетель программы: Z.Рэйзор
Дядя рэйзор вам сейчас зашпандорит свой рассказ...
Расскажу я вам о том, как работать с сим брутом...
Кто не понял сей рассказ, тот .....
Когда вы тыкаете на кнопку входа в браузере - на сервер отправляется информация. Она может быть нескольких типов, но основные это GET и POST. И поскольку POST самый распространенный то рассматривать будем его. Итак в чем суть брута? А суть в том, что мы имитируем запрос. Для начала нам нужно перехватить его в браузере. Запрос состоит из адреса, куда мы его отправляем. Это может быть та же страница, откуда вы входите, а может быть вообще хрен знает что на другом сервере, ее мы вставляем в Brute URL. Следующая часть - POST DATA. В ней обычно содержаться ник и пасс + немного дополнительной лабудени. ЕЕ мы старательно переписываем в POST дату в бруте, заменив свой ник и пароль на "переменные", в эти места брут подставит нужные данные из баз. По мимо этого в запросе еще куча данных: часть из них уже в бруте прописана (это юзер агент и кодировка, они служат для маскировки). Есть строка Referer, в 90% случаев она никакой роли не играет, НО некоторые сайты без правильного реферера не дадут залогиниться (например стим). Теперь у нас есть все для того, чтобы отправить запрос. Но после получения запроса брут получить данные. Это можнт быть код страницы куда его перекинет после входа или просто несколько строк непонятных данных (как в укозе) или вообще нулевые данные (это может быть плохая прокси, таймаут соединения или еще чтонить) в данном случае брут считает такой акк ERROR. В остальных случаях нам нужно научить его определять гуды. Для сего действия есть детектор гудов. В нем есть 2 данных, это текущий никнейм из базы и текст из поля Data. Допустим мы можем искать просто ник, но это плохая идея: допустим ник у нас strong, брут получает код страницы, но там куча тегов <strong> - соответственно он определит акк как сбрученный, чтобы этого избежать есть ТЕСТ МОД. Мы сначала делаем запрос с правильными данными - сохраняем данные в другой файл, а потом с неправильными и смотрим различия. Это может что то типо "Добро пожаловать" как в буллетине или какаято левая строка типо " ("window.location.href='"+ad+"?" как в укозе. Также мы можем поступить по другому. Например у нас нет валидной пары , и мы уверены, что настроили правильно - получаем код из тест мода от неправильной пары, а там есть что то типо "Неправильный пароль" - вставляем эту строку в Data и выбираем опцию "No Data". Если брут получит ненулевой ответ и в нем не будет этой строки он определит как гуд.
Теперь пробежимся по дополнительным опциям:
SSL - нужен если вы используете SOCKS прокси или если у вас в любой из указанных страниц адрес начинается с https.
Handle Redirects - опция в 95% случаев должна быть тру, это значит что брут позволит себя перекидывать на другие страницы после входа.
Компрессор - ну тут понятно, хотя впринципе толку от него мало.
Таймаут - это максимальное время ожидания ответа. Допустим если мы поставим 5000 (5 секунд) - то многие прокси слишком слабы чтобы так быстро ответить - и соединение обрвется и будет ерор. Слишком много тоже ставить не нужно - некоторые соединения будут висеть слишком долго.
Delay - опция на любителя, если в 1 потоке больше 2 запросов (допустим куки + сам брут) - то он сделает задержку между ними в X милисекунд.
Swap - иногда бывает так, что при успешном входе - соединение долго висит и вылетает по таймауту - а в случае с бэдами - все нормально. Тогда мы можем "свапнуть" значения. Но настоящие ероры - тоже пойдут в гуды и нужно будет отсеивать - как вариант можно прогнать на 2 раз список ероров.
Куки - иногда сайты не принимают без валидных кук. Для этого мы имитируем браузер, заходя на страницу входа.
Токен - иногда в запросе присутствует постоянно изменяющаяся строка (чаще всего напоминает мд5 хеш) - чтобы передавать нужную строку - мы включаем куки - указываем страницу входа. Затем открываем код страницы и ищем нас ключ. Теперь нам нужно научить брут его вытаскивать: 1 указываем НЕ ПОВТОРЯЮЩУЮСЯ строку идущую ровно до начала токена (бывают случаи что ее оставить нельзя - но тут уж..) и символ на который ключ заканчивается - в 99% это " теперь наш токен нужно поставить в пост дату в виде #token#
Собственно вот и все :) кто все внимательно прочитал - без проблем может настроить брут. На последок скажу, что настроить нельзя только под некоторые очень крупные сайты защиту которых мы обойти пока не могем. А это лишь 5% страниц из всех безкапчевых.. Остальные 95% спокойно настраиваются. Ну - 10% на токены и прочую хрень - итого 85%. Так что делайте выводы.
+ Дополнительно про гет запросы:
Если вы перехватили запрос но у него стоит метод ГЕТ и нету пост даты, вместо этого в адресе стоит ник и пароль, что делать?
Все тоже самое только меняем метод на GET. На Post дату на плевать теперь. А "переменные" вставляем прям в Brute URL (например: _http://example.com/login.php?user=#username#&password=#password#)
+ Немного про кол-во потоков:
Необходимо учитывать ширину канала. Но в целом тенденция такая: чем больше потоков тем больше ероров. Найдите такое кол-во при котором не будет большого ожидание пере выводом акков в поле - они должны идти сплошным потоком. Если они так не идут - это либо их мало, либо много и они не могут все сразу пройти по каналу. В целом больше 200 потков при использовании прокси на инете <5 MB ставить не рекомендуется. Я на 1мб входящей ставлю 120-180.
я до поста обжекта ещё не разобрался в детекторе потом понел когда мне сказал Рэйзор.. если ты такой умный иди учись сам чёж ты гайды читаешь а? или напиши сам гайд если ты с брутом на ты ок? я имел ввиду в любом ультимате они как еррор а вбф (кстати тоже я гайд писал) там детектор по проще и там он обезателен а тут можно и без детектора брутить и на много раз быстрее! так что я жду твоего гайда !только не копируй мой ок?!
наглядно от умных людей гайды дают понять все быстро и без заморочек чтоб не разбираться самому что к чему, раз ты написал гайд по нему ты должен норм писать и зная что пишешь а не так наляпал черти что чтоб с пасибок отхватиь тк первый написал, в общем убейся уже с темой этой ты показал свои способности
Дяденька Рейзор, а объясните пожалуйсто вот если есть переменная Submit=Вход, но в раскодированном виде она страшная какая-то, все равно писать ее раскодированный вид?:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Последний раз редактировалось zizika; 30.09.2010 в 17:36.
Дяденька Рейзор, а объясните пожалуйсто вот если есть переменная Submit=Вход, но в раскодированном виде она страшная какая-то, все равно писать ее раскодированный вид?:
[Ссылки могут видеть только зарегистрированные пользователи. ]
ты решил пэйпал побрутить? я отсюда вижу что там защита что просто так хрен обойдешь
Привет всем! Вот я вводил всё по описанию для сервера [Ссылки могут видеть только зарегистрированные пользователи. ] Вот допустим я сделал так:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Когда я вводил адрес в "Brute URL", мне написало, что надо пользоваться SSL, но я не знаю какой выбирать.
Что делать дальше?
Может кто то подробней описать?
Или скрин полных настроек скинуть.
Последний раз редактировалось Catscool; 01.10.2010 в 18:07.
Привет всем! Вот я вводил всё по описанию для сервера [Ссылки могут видеть только зарегистрированные пользователи. ] Вот допустим я сделал так:
[Ссылки могут видеть только зарегистрированные пользователи. ]
Когда я вводил адрес в "Brute URL", мне написало, что надо пользоваться SSL, но я не знаю какой выбирать.
Что делать дальше?
Может кто то подробней описать?
Или скрин полных настроек скинуть.
[Ссылки могут видеть только зарегистрированные пользователи. ]
включаешь и выбираешь 1 пункт. прокси сокс или хттпС (если не банит то прокси не нужны)
[Ссылки могут видеть только зарегистрированные пользователи. ]
включаешь и выбираешь 1 пункт. прокси сокс или хттпС (если не банит то прокси не нужны)
это я понял уже, но мне бы кто то лучше подсказал, остальные настройки для [Ссылки могут видеть только зарегистрированные пользователи. ]
а то, я ничего не понимаю в нём
если ты умный настройки кинь!!! для таких умных как ты там в коде нету Name=Value (если знаешь что это вообще) поэтому ты не сможешь его брутить !!!
даже я не знаю, что это....
Добавлено через 2 часа 37 минут
настройки под [Ссылки могут видеть только зарегистрированные пользователи. ] - игра выбрана линейка (server=10)
[Ссылки могут видеть только зарегистрированные пользователи. ]