УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Преодоление простой защиты от брутфорса

Опции темы

Поиск в этой теме

Опции просмотра

22.10.2015, 20:46

Altai

Новичок

Регистрация: 04.02.2010

Сообщений: 0

Провел на форуме:
1574

Репутация: 0

Здравствуйте! Пишу тут на php брутфорс вордпресовской админки. В общем всё хорошо, но попался один сайтик, который после нес-ких циклов перебора, блокирует по ip. И этот блок работает так, что при очередном запросе на сервер, не приходит ответ. Пишет, что время ожидания истекло. Подскажите новичку, как програмно обнаружить, что произошел такой вот блок, чтоб переключить прокси и дальше продолжать перебор

22.10.2015, 21:10

private_static

Участник форума

Регистрация: 19.05.2015

Сообщений: 117

Провел на форуме:
25535

Репутация: 22

брутфорс на php? нашли на чём писать...

как вариант в try catch обернуть, при выбрасывании исключения таймаута менять прокси

22.10.2015, 23:21

Altai

Новичок

Регистрация: 04.02.2010

Сообщений: 0

Провел на форуме:
1574

Репутация: 0

Цитата:

Сообщение от private_static

↑
брутфорс на php? нашли на чём писать...

Больше ничего другого не знаю

Вопрос пока отложен, сервер перестал блокировать, непонятная какая-то фигня происходит. В любом случае, всем спасибо за внимание

24.10.2015, 11:41

grimnir

Познавший АНТИЧАТ

Регистрация: 23.04.2012

Сообщений: 1,109

Провел на форуме:
216062

Репутация: 231

Цитата:

Сообщение от altai

↑
Здравствуйте! Пишу тут на php брутфорс вордпресовской админки. В общем всё хорошо, но попался один сайтик, который после нес-ких циклов перебора, блокирует по ip. И этот блок работает так, что при очередном запросе на сервер, не приходит ответ. Пишет, что время ожидания истекло. Подскажите новичку, как програмно обнаружить, что произошел такой вот блок, чтоб переключить прокси и дальше продолжать перебор

Как админку брутите?Через wp-admin или xmlrpc?

24.10.2015, 13:46

Altai

Новичок

Регистрация: 04.02.2010

Сообщений: 0

Провел на форуме:
1574

Репутация: 0

Цитата:

Сообщение от grimnir

↑
Как админку брутите?Через wp-admin или xmlrpc?

Ч-з wp-login.php

Про xmlrpc не слышал. Надо почитать

24.10.2015, 15:10

grimnir

Познавший АНТИЧАТ

Регистрация: 23.04.2012

Сообщений: 1,109

Провел на форуме:
216062

Репутация: 231

Цитата:

Сообщение от altai

↑
Ч-з wp-login.php
Про xmlrpc не слышал. Надо почитать

https://github.com/mranarshit/wp-bruteforce_xmlrpc

Атака с усилением https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit

Вот как раз ей можно обходить бан всякими плагинами вп+в логах нет мусора

Описание http://www.securitylab.ru/news/475540.php

24.10.2015, 21:53

Altai

Новичок

Регистрация: 04.02.2010

Сообщений: 0

Провел на форуме:
1574

Репутация: 0

Цитата:

Сообщение от grimnir

↑
https://github.com/1N3/Wordpress-XML...-Force-Exploit

Этот не сработал, в ридми написано что он создавался под версию 3.5.1, видимо сейчас уже не актуален. То ли у меня руки кривые, т.к. раньше кроме php ни с какими другими ЯП не работал.

Цитата:

Сообщение от grimnir

↑
https://github.com/mranarshit/wp-bruteforce_xmlrpc

Этот сработал. Только есть пару непонятных моментов. Может сможете подсказать?

Я ко всему ещё с англ. плохо дружу, не пойму для чего вот эта строчка: Enter Thread Number? Не подскажете?

Во 2-х, не пойму, как этому скрипту дать логин, под который нужно подбирать pass? В самом коде понятно, заменить стандартный на свой. Но судя по скриншоту, там должно быть предусмотрено ввод логина во время запуска. Что нужно сделать, чтоб у меня произошел запрос на ввод логина? А то при запуске скрипта после указания ссылок на список сайтов, список паролей и ввода Thread Number, сразу начинается перебор

И 3-й вопрос - как остановить скрипт после того, как нужный пароль найден? А то у меня скрипт нашел пароль, и дальше погнал подбор. Так и должно быть?

25.10.2015, 09:22

grimnir

Познавший АНТИЧАТ

Регистрация: 23.04.2012

Сообщений: 1,109

Провел на форуме:
216062

Репутация: 231

Enter Thread Number?

Это количество потоков.

Ввод логина через редактирование исходника только,но можно переписать.

Остановиться по идее он должен сам .

Вообще нормального брута я так и не нашел,поэтому пишу свой.

Еще вот появился новый https://github.com/zendoctor/wpbrute-rpc

25.10.2015, 18:11

Altai

Новичок

Регистрация: 04.02.2010

Сообщений: 0

Провел на форуме:
1574

Репутация: 0

Вообще неплохой брутер вордпресса есть в kali-linux - http://master-it.biz/kali-linux-wpscan.html там он и автоматом может логины просканить, и разные уязвимости подискать. Но там вся документация на англ., по этому я отложил это дело до лучших времён, когда найду время на нормальное изучение англ. языка

#10

06.01.2016, 22:26

xusanokaz

Познающий

Регистрация: 06.01.2016

Сообщений: 49

Провел на форуме:
12783

Репутация: 0

подшивай прокси, но не к php

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход