[ Web ] Brute Forcer
 

[ Web ] Brute Forcer v1.1

http://wonted.ru/wbf_prev.png


[ Возможности ]
[+] Брут методом POST
[+] Брут методом GET
[+] Брут Basic-авторизации (методом HEAD)
[+] Брут FTP
[+] Многопоточность (1 ~ 1000 потоков)
[+] Возможность установки дополнительных Request (GET/POST) переменных.
[+] Возможность установки Cookies.
[+] Брут с использованием прокси (встроенный ротатор прокси с функцией авточека и настраиваемой автосменой)
[+] 3 режима атаки:
- Атака 1 логина
- Атака нескольких логинов
- Атака по 1 паролю

[ Дополнительные возможности ]
[+] Встроенный браузер plain HTML с подсветкой тегов input и показом заголовков, полученных от сайта.
[+] Менеджер словарей (Генерация, склейка, разбивка)

Примечания:
- Программа требует наличия .NET Framework > 2.0
- Настройки хранятся в файле Config.xml
- Сохранённые элементы из ComboBox'ов можно удалять нажатием Ctrl+Delete.
- При запуске с ключём /oldstyle программа будет иметь старый стиль оформления.
- При смене tab'a GUI немного подтормаживает.
- Старайтесь в индикаторе не использовать кириллические символы (так как некоторые сайты посылают неверную кодировку в заголовке).
- Программа ещё сырая, так что надеюсь на ваши советы / найденные глюки.

Greetz To:
procedure
Chaak
geezer.code
Twoster
groundhog
Elvis000

ADD: Мануал для новичков:
https://forum.antichat.ru/showpost.php?p=1180088

ADD: Для особо одарённых выкладываю пример настройки для брута mail.ru:
https://forum.antichat.ru/showpost.php?p=1161182

[ Скачать ]
WebBruteForcer.zip


Огромная просьба ко всем пользователям программы:
Не просите у меня помощи в настройке/консультации/совета по использованию данной программы.
Несколько десятков человек в день считают нужным ко мне постучаться и спросить помощи.
Я тоже человек, и у меня есть свои дела.
Отныне буду просто посылать в игнор.

А может работать на 500-1000 потоков?

В таком случае программа будет работать нестабильно (начнёт зависать GUI).
Скорость брута упирается в ширину канала и пинг до сервера. Так что выставление заоблачного количества потоков прироста не даст.

При широком канале даст, еще как.. :)

Только нужно поставить на XP "снятие ограничения потоков".

[x26]VOLAND, добавь еще :

1. Выбор кодировки соединения
2. Поддержку Url-encoded форм
3. Желательно поддержку SSL
4. Выбор таймаута
5. Работу в трее

Хотелось бы меньшую нагрузку на систему при работе с большими базами логинов/паролей

Хотелось бы Брут POP3(как опция, вообще будет зачёт!), а так же сохранение конфига например для DLE, Joomla и т.п.
Ну ещё задать кол-во потоков руками!

По вашим просьбам увеличил максимальное кол-во потоков до 1000.

Кодировка определяется сама в зависимости от кодировки ответа сервера.

Их и так можно задавать в ручную :) Просто при вводое числа > 1000, или вообще нечислового значения, кол-во потоков урезается до 1000

Если мне не изменяет память, то во всех популярных движках реализована блокировка аккаунта поле N числа неудачных попыток входа.
Моя программа расчитана прежде всего на самописные сайты.

Спасибо всем за дельные советы, будем реализовывать)

cпасибо.
Есть вопрос, по типу перебора, режим: несколько аккаунтов, это имеется ввиду база ввиде логин/пасс?

Да, в виде логин<разделитель>пароль. разделитель можно задавать свой. Генерировать такие словари позволяет менеджер списков.

благодарю, за ответ.

Жду результатов тестирования в боевых условиях...

Щас походу круто писать на шарпе...

не плохо)) а что вдруг в паблик?

в этой программе есть что-то "приватное"?

Если честно в ней нет даже избранного, не в обиду автору, это все трата времени, не в пустую конечно, но мне это программка никак не понадобиться, в том плане, что раньше во времена брутуса, она бы была полезна, но никак не сейчас, когда функции авторизации усложняются на глазах...
К каждому случаю особый подход, для каждого случая пишешь новое, куда интересней, куда правильней, куда эффективнее, на C# писать сложности никакой не вижу, интересней писать на С++!!!!11111

p.s. щас тоже кодить пойду...

Мы тратим время впустую, что бы не делали......

до этого она в РОА была

Непонял тебя. Я заявлял что написание программы было для меня сложным? По поводу C++ - это мнение субъективное... Мне больше C# нравится....

У хохла 35 см.
p.s. занимаюсь тем же чем и вы...
А для непонятливых... не по теме пишу..

- Атака (Потоков: 3)
[Ошибка] Базовое соединение закрыто: Непредвиденная ошибка при приеме.
----------------------------- [ Атака прервана ]
из за чего такая ошибка?

Дай список настроек и хост который брутил

Что то у меня не получается. По заведомо известным имени и паролю не срабатывает. Работал в паре с sentry, он работает, этот брут нет.

Предполагаю, что я что-то не правильно делаю.

На вконтакте попробовал.
целевой урл: http://vkontakte.ru/login.php
настройки по дефолту.
тип перебора: по 1 паролю.
загнал txt с базой из 13к мыл. Подбирал по пасу 12345678.
Из проверенных 2077 мыл (остановил вручную) прога сказала что все 2077 правильные.
Начал проверять - разумеется нет..

что не так ?

upd:
на форуме в локалке прога не смогла даже подобрать верный пас из пяти верный пасс к моему акку, заведомо что один из пасов правильный... на форуме нет никакой капчи даже =\

Значит ввёл неверные данные.

Очень странно. Сам тестил на 2х различных скриптах в инете и на локалке...

Сейчас дописываю поддержку авторедиректов. Скорее всего из-за этого возникают проблемы.

Отличный брут +++ !
Работает стабильно ...
http://picthost.ru/images/rcmw0dq7ia...dm4k_thumb.jpg

Наверное дело в моей неправильной настройке.
Например бручу вконтакте. Что нужно написать в отделе "параметры индикации успешного входа" ?
Как я узнать могу какую команду сайт дает если логин случается ?

Посмотри сорц страницы. и скопируй участок текста, при отсутствии/присутствии которого в странице попытка будет считаться успешной. Там же всё расписано.

контакт вроде капчу выкидывает

Дооо, РОА это невъебенный приват! ИМХО если что-то действительно приватное попадает в закрытые разделы, это уже не превад!

Никто не говорит что в РОА выкладывается приват. Там люди показывают знания. не более.

Обновил. Была бага с кодировкой.
Старайтесь в индикаторе не использовать кириллические символы (так как некоторые сайты посылают неверную кодировку в заголовке).

Ну а что до этого:
так надо настраивать брут индивидуально для каждого сайта. Ничего нельзя оставлять по-умолчанию... Бери настройки input-полей в "Браузере".

а это что?

Это не приват. Но поначалу решил показать знания в РОА, а затем спустить в паблик. Так понятно?

Не понимаю что не так делаю %(
http://pic.ipicture.ru/uploads/09030...3S2sY4W89x.jpg

----------------------------- [ Атака начата ]
[Ошибка] Файл аккаунтов имеет неправильную разметку
----------------------------- [ Атака прервана ]

хотя разделитель правельно стоит...

Значит в 1й из строк больше 1го разделителя

Nuke142, а так не айс?
http://pic.ipicture.ru/uploads/09031...1MX1NVX7bN.png
Как говориться, "толи лыжи не едут, толи я .... "

PS. в куках - переменные, получаемые автоматически при посещении mail.ru. Как я выяснил, значения этих полей могут быть любыми, так как при логине происходит проверка на их существование, а не содержимое.

кодировка мб ?

Нет. Всё нормально, MegaEGG уже разобрался:

Всё круто работает, хотелось бы добавить отправку найденного логина/пароля на мыло(на шарпе же это несложно делается ;)?) и уменьшить время загрузки списка паролей, потому что для больших словарей думает довольно долго.