elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  fuerza bruta SMF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: fuerza bruta SMF  (Leído 9,122 veces)
kilodepala2

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: fuerza bruta SMF
« Respuesta #10 en: 29 Octubre 2016, 14:53 pm »

Multihilo y que cada uno acceda con una IP diferente igual cuela. Claro que, eso aumentaría los tiempos de conexión y si dices que usa cloudflare, lo mismo los acabe haciendo pasar un challange, aunque al mismo tiempo te saltas el limite.

Por otro lado, no sean escépticos, en la mayoría de los casos, no hace falta resolver el charset entero. Esos cálculos asumen que la contraseña es el ultimo charset generado de todas las posibilidades y todos sabemos que casi nunca (por no decir nunca) se da ese caso.

Yo lo intentaría antes con un diccionario.. los de fuerza bruta por generador son para cuando los diccionarios no funcionan. Hay muchos diccionarios en español y otros especialmente hechos para contraseñas de servicios web. Busquedas en Google facilitas.

Ahora que recuerdo, SMF aunque no recuerdo si era el 1.x o el 2.x guardaba el login del usuario en una COOKIE salteada con 4 caracteres. Lo mismo, en vez de hacer fuerza bruta al login, puedes generar strings sha1 aleatorios que suelen tener si o si 40 caracteres con el siguente esquema:

Código:
sha1 (nombreUsuario + stringAleatorio + stringAleatoriode4Caracteres)

O si no te interesa un usuario en concreto simplemente generar hex de 40 caracteres de fijo.

Saludos

todo depende de la complejidad de la contrase;a...

pense en usar diccionarios, pero no lo hice porque eso no me garantiza que vaya a encontrar la pass.

voy a investigar sobre esto...
entonces si logro generar una cookie correcta, al entrar a la web ya estaria logueado?


En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.850



Ver Perfil WWW
Re: fuerza bruta SMF
« Respuesta #11 en: 29 Octubre 2016, 21:18 pm »

Citar
pense en usar diccionarios, pero no lo hice porque eso no me garantiza que vaya a encontrar la pass.

Bueno, la fuerza bruta tampoco te lo asegura. Por ejemplo, veo que has metido -, _ y . de caracteres pero no has metido @,ñ,Ñ,!,¡,$,€,<,> o & por mencionar algunos de los mas comunes.

Citar
entonces si logro generar una cookie correcta, al entrar a la web ya estaria logueado?

En un principio si, en su momento cuando analice el código no guardaban ningún tipo de identificador de session (ip o navegador por ejemplo). Por tanto con generar la cookie correcta, logras una sesión. De todos modos, es cuestion de mirarlo puesto que es open source, te puedes descargar el codigo y analizarlo.

Saludos
En línea

kilodepala2

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: fuerza bruta SMF
« Respuesta #12 en: 30 Octubre 2016, 13:21 pm »

Bueno, la fuerza bruta tampoco te lo asegura. Por ejemplo, veo que has metido -, _ y . de caracteres pero no has metido @,ñ,Ñ,!,¡,$,€,<,> o & por mencionar algunos de los mas comunes.

En un principio si, en su momento cuando analice el código no guardaban ningún tipo de identificador de session (ip o navegador por ejemplo). Por tanto con generar la cookie correcta, logras una sesión. De todos modos, es cuestion de mirarlo puesto que es open source, te puedes descargar el codigo y analizarlo.

Saludos

hoy me puse a investigar eso de las cookies. la web a la que intento hacerle fuerza bruta, tiene el foro SMF conectado a otra web que programaron ellos.
al momento de analizar las cookies me di cuenta que se guardaba el nombre de usuario, y una cadena cifrada. parecia rot13, pero despues me di cuenta de que era base64, la desencripte y ahi esta la contrase;a con la que me loguie.

ahora estoy buscando alguna forma de hacer xss, pero se ve dificil.
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Fuerza Bruta En VB
Programación Visual Basic
Cicklow 6 7,542 Último mensaje 24 Agosto 2005, 22:51 pm
por 5v5
Fuerza bruta « 1 2 3 »
Programación Visual Basic
vivachapas 25 12,740 Último mensaje 22 Enero 2008, 03:06 am
por vivachapas
Fuerza bruta
Programación Visual Basic
aaronduran2 4 3,022 Último mensaje 28 Junio 2008, 21:09 pm
por aaronduran2
fuerza bruta
Wireless en Linux
d_pit 2 2,957 Último mensaje 29 Junio 2010, 00:11 am
por |FluiD|
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines