Брутфорс в чате
 

Подскажите пожалуйста нормальную прогу для подбора пароля пользователя в чате. Чат http://chat.dobroe.ru доступен с нашей локалки без подключения к интернету. С одного ip можно сколько угодно раз вводить пароль. Вродебы всё легко и проги для этого есть, но всёравно не получается. Юзал следующее:
BrutusA2 - находит много паролей к одному и тому же нику и все неправильные, иногда зависает
wwwhack - ругается на чат и не хочет ничего брутить
XFactor4.2 - вообще не разобрался в настройках
sentry 1.2 - в ней хоть что-то получается, русификатор бы к ней найти. Дело в том, что чат http://chat.dobroe.ru специфический, на движке VOC++ Business Edition (http://vocplus.creatiff.com.ua) Фишка в том, что прога брутящая пароль должна знать, когда ей нужно остановиться, т.е. нужно условие. Допустим если пароль правильный, то открывается такая страница, если неправильный, то другая. В этом чате всё не так, допустим я знаю ник, зарегестрированый в чате, я ввожу этот ник и неверный пароль. Открывается страница http://chat.dobroe.ru/voc.php на которой есть только поле для ввода пароля, чат просит ввести пароль. Если я ввожу верные ник и пароль, то откроется страница http://chat.dobroe.ru/voc.php, которая будет являться самим чатом. Получается, что открывается одна и таже страница, только с разным содержанием. Ни один из моих брутеров не хочет работать. Хотел сам что-то написать, но всё упирается в условие. Как задать это самое условие?

Задай условие по содержимому страницы например

Честно говоря, в скриптах особо не разбираюсь. Но если составить алгоритм, то на скрипты перевести не трудно. С трудом представляю, как можно сравнить по содержания. Посмотрел обе странички: 1ая строчка одинаковая, 2и3 пустые, а 4ые различаются. Скрипт должен сравнивать по 4ой строке. Вопрос: для сравнения странички нужно сохранять на диск или сравнение происходит на лету?

На лету...я пхп плохо знаю, но на сколько я понимаю - http://php.mirror.camelnetwork.com/manual/ru/function.domnode-get-content.php то что тебе нужно. Т.е. if'ами например сравниваешь полученное парсингом и далее...

PHP - какой-то стрёмный язык. Всё как то муторно, сложно.
Этот скрипт будет выполняться на моей машине т.е. надо ставить PHP 5.2.5 installer [19,803Kb], я правильно мыслю?

PHP - очень простой язык.
Брутфорс на PHP ИМХО изврат дикий.
Но если уж решишь юзать поставь лучше Денвер.
denwer.ru
Потом тебе понадобятся сохраненные странички, которые выдаются при ошибке авторизации и при успешной авторизации. Тут есть еще такой камешек - страница с чатом каждый раз другая (в зависимости от людей там и еще). Надо проверять не полное содержимое, а только начало - которое всегда одинаковое при успешном входе.
Делаешь так - отправляешь запрос с логином и паролем и сессией потом получаешь http://chat.dobroe.ru/voc.php со своей сессией при помощи file_get_contents и сравниваешь со своими заготовками. ИМХО так.

Есть способ легче? Можно поподробней?

hydra не подойдет ?

Скачал Hydra 5.4 под win, теперь изучаю как пользоваться. Переводил справку
http[s]-form-{get|post}
specifies the page and the parameters for the web form.
the keyword "^USER^" is replaced with the login and
^PASS^ with the password.
syntax: <url>:<form parameters>:<failure string>
e.g.: /login.php:user=^USER^&pass=^PASS^&mid=123:incorrec t
где incorrect - строка отказа. И как этим пользоваться. Страница открывается всегда одна и та же т.е chat.dobroe.ru/voc.php Что писать в строке отказа и что значит
^PASS^&mid=123 ?

приколисты уже hydra'ой чаты начали брутить

А сам чем предлагаешь? Есть другие проги, которые будут работать на chat.dobroe.ru?
Вообще полный список того, что поддерживает hydra:
TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY,
HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET,
HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES,
POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth,
Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA,
REXEC, SOCKS5, VNC, POP3 and VMware-Auth.

Какие протоколы поддерживает гидра я знаю и думаю что чат этого нестоит лучше брутить ssh

Брутить Ssh не мой уровень, слишком сложно) Даже если я получу консоль удаленого сервера, а в моем случае он на Дебиане, то я всеравно не знаю даже простых команд линукса. А вот брутить чат это по мне.
Так какой прогой это возможно? Гидра сможет подобрать пароль или надо что-то другое использовать?

Может, пробуй)

Помогите пожалуйста настроить Гидру
синтаксис брута веб формы <url>:<form parameters>:<failure string>
пример, который там приводится: /login.php:user=^USER^&pass=^PASS^&mid=123:incorrec t
пытаюсь сам:
login.php- chat.dobroe.ru/voc.php
USER - берётся из словаря
PASS - берётся из словаря
incorrect - это отрицательный ответ сервера. В моём случае открывается страница chat.dobroe.ru/voc.php, она же открывается и при положительном ответе сервера.
Получается ерунда
voc.php:user=^USER^&pass=^PASS^&mid=123:voc.php
Любой пароль правильный :-)

Эти параметры - user и pass - ты можешь взять перехватив пакет, отсылаемый на сервер во время авторизации. Для этого заюзай например Naviscope, ну или любой другой сниффер.

n0ne правильно сказал.
Тебе нужно сформировать правильный запрос.
Отправляется он в твоем случае в вот таком виде:

С запросами к серверу я разобрался, присвоил им необходимые значения. А как можно узнать положительный и отрицательный ответы сервера на запросы? Их можно посмотреть в коде страниц или они узнаются по другому?

Прогуглил я по этой теме и всё узнал. В поле ответа сервера нужно вставить кусок кода открывшейся страницы и проследить, чтобы он был оригинальным. Тогда программа заработает.
Вы всё знали, просто говорить не хотели.

ребята вы здесь все талантливые, помогите мне взломать чат http://citychat.spb.ru/ чат хороший нехочу его портить, там просто модератор полный мудак, всегда надомной угарает, возьмёт за меня напишет что нибудь гадкое, да и банит просто так, выпендривается, типа может тебя забанить, могу чтобы ты сюда незашёл, просто хочу отомстить, да кстати сайт вам взломать как нефиг делать, админа там ваще нет, безцензура, регистрация необязательно, помогите плиииз

ну я имею ввиду вам может взломать легко, а я в этом ламер, есть программа wwwhack

Люди скажите пожалуста по подробней как настроить hydra-5.4-win для chat.dobroe.ru ???? А то у меня с ДОСОМ полная БЕДА я его пости не знаю =( и не умею в нем работать =(

Подскажите ПОЖАЛУСТА ламеру я совсем не знаю как ето зделать =(

цЫц! ;)