PDA

Просмотр полной версии : Брутфорс формы для входа на HTTPS сайте

WINX705C
21.10.2021, 20:08
Всем Добрый Вечер. Хотел бы узнать по поводу брутфорса формы для входа на https сайте. Сама форма обычная(имеет логин и пароль). Никакой защиты в ввиде капчи, защиты от брутфорса, бана по IP и т.д нету. Можно до бесконечности пытатья подбирать пароль и всё будет ок. А вообще вот в чём вопрос. Подскажите пожалуйста софт, в котором можно было бы это провернуть,желательно с поддержкой прокси. На фото прикрепил как выглядит сама форма и её код в браузере. Заранее благодарен)
sherxan-g
02.12.2021, 22:51
WINX705C said:
↑ (https://antichat.live/posts/4478903/)
Всем Добрый Вечер. Хотел бы узнать по поводу брутфорса формы для входа на https сайте. Сама форма обычная(имеет логин и пароль).


Burp suite Видео (https://www.youtube.com/watch?v=aadXWodbfFo)
lifescore
20.12.2021, 02:24
WINX705C said:
↑ (https://antichat.live/posts/4478903/)
Всем Добрый Вечер. Хотел бы узнать по поводу брутфорса формы для входа на https сайте. Сама форма обычная(имеет логин и пароль). Никакой защиты в ввиде капчи, защиты от брутфорса, бана по IP и т.д нету. Можно до бесконечности пытатья подбирать пароль и всё будет ок. А вообще вот в чём вопрос. Подскажите пожалуйста софт, в котором можно было бы это провернуть,желательно с поддержкой прокси. На фото прикрепил как выглядит сама форма и её код в браузере. Заранее благодарен)


Лучше с этим справится не фаззер бурпа (хотя он тоже ок, до определенных объемов)

https://github.com/openbullet/openbullet

https://i.imgur.com/Pjfyp1w.png

В POST Data


Code:
login=&password=&page=443&submit=Войти

в key check любое что определяет валидность или наоборот
karkajoi
20.12.2021, 13:30
Из платных privat keeper http://pk.community/, он стоит копейки 220р месяц. На него есть куча гадов на ютабе
sonyaradioselectra
09.01.2022, 04:33
thc-hydra в kali или вот гит https://github.com/vanhauser-thc/thc-hydr, гайд https://infinitelogins.com/2020/02/22/how-to-brute-force-websites-using-hydra/ , а прокси можешь использовать через proxychains; с помощью proxychains+burp HTTP Proxy можешь также посмотреть как выглядят нужные тебе запросы/ответы и сформировать нужный фильтр для hydra; hydra http-form -U - там есть пара примеров внизу для фильтров ответов от сервера по заголовкам, коду ответа, телу и п.р.

Примерно так будет: proxychains hydra -l login-p pu$$yword-t 4 -s 443 192.168.1.1 https-post-form *дальше фильтры из скриншота, они же из help*