elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]  (Leído 24,267 veces)
mordiskos

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« en: 28 Enero 2010, 20:28 pm »

Hola!

Os cuento, esta mañana me he puesto a pensar y se me ha ocurrido que una password del Tuenti se podria sacar sabiendo el email y con algun programa tipo Wfuzz. Pues me lo he bajado, he creado un archivo de texto en el que he escrito varias palabras al azar y entre ellas mi password valida. He abierto el programa, le he puesto los parametros necesarios (incluyendo el que me metiera los resultados en un .html) y lo he ejecutado.

Tras varios intentos, he ido a acceder a mi cuenta y "se habia dado cuenta" de lo que he estado haciendo, me ha pedido introducir mi password de nuevo y un captcha para verificar.

Total, que me he puesto a indagar por internet y he visto que Tuenti ya ha corregido este fallo.

Ahora viene mi pregunta, que es mas por simple curiosidad que otra cosa: ¿Existe alguna manera de burlar estas protecciones, de saltarlas?, porque he buscado en google y no se me ocurre que mas palabras poner, no encuentro nanai!

Salu2!
En línea

kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #1 en: 28 Enero 2010, 20:34 pm »

hace unos meses era vulnerable, busca el hilo no andará muy lejos, pero afortunadamente parcheó y ese hilo se cerró :P

no creo que por ahí haya mucho más que hacer, ya que tras un número X de intentos se bloqueará la cuenta, así que adios automatización y brute-force
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #2 en: 28 Enero 2010, 21:33 pm »

hace unos meses era vulnerable, busca el hilo no andará muy lejos, pero afortunadamente parcheó y ese hilo se cerró :P

no creo que por ahí haya mucho más que hacer, ya que tras un número X de intentos se bloqueará la cuenta, así que adios automatización y brute-force
Y si lo hacemos bajo una cuenta que noe s nuestra se la bloqueamos a otro?

Saludos
En línea

kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #3 en: 28 Enero 2010, 21:40 pm »

supongo que si, no tengo tuenti, pero lógico que se bloquee o en su defecto implemente algún mecanismo que impida hacer brute-force
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
mordiskos

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #4 en: 29 Enero 2010, 00:04 am »

Gracias por contestar, el hilo ese que comentais tambien lo he encontrado pero lo que dicen es lo que ya habia hecho yo.

Efectivamente, si se lo haces a una cuenta que no es la tuya tambien se bloquea, pero lo unico que hace es pedirte tu clave de nuevo y te hace introducir un codigo para comprobar que eres tu...asique me imagino que implementando un sistema parecido al que usa el JDownloader con los captchas de megaupload se podria hacer.

Mi pregunta final era mas de tipo general, es decir, que no quiero saber como sacar una password del tuenti, sino que me interesaria saber si existe alguna manera posible de eludir una proteccion "anti-fuerza bruta" por decirlo de alguna manera.

Salu2!
En línea

kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #5 en: 29 Enero 2010, 00:10 am »

es que no hay una única medida anti fuerza-bruta, entonces no hay algo genérico, en cada caso tendrás que optar por una u otra cosa, por ejemplo algunas medidas pueden ser:

- ralentizar la velocidad de la conexión contra más intentos fallidos hagas
- bannear ip's después de X intentos
- detectar peticiones automatizadas para filtrarlas
- captchas
- ...

cada una de estas medidas tienen que abordarse de formas distintas, aunque no es fácil y si están bien implementadas tendrás que optar por otra cosa que no sea fuerza bruta
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
mordiskos

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #6 en: 29 Enero 2010, 01:03 am »

Entiendo...ya me imaginaba que no seria cosa facil, pero me alegro, asi me encuentro mas seguro.

Teniendo en cuenta el ejemplo del tuenti, que como he dicho antes, utiliza un sistema que a los 8 intentos (creo), "bloquea" la cuenta, siendo necesario introducir un codigo captcha para poder acceder. Teniendo esto en cuenta, si el Wfuzz, incluyera ademas un modulo para reconocer estos codigos, no habria dificultades, no?

Es decir, el Wfuzz se conectaria a la pagina de login del tuenti, entraria el email y la primera palabra del diccionario, al ver que el servidor dice que es incorrecta, probaria con la siguiente y asi hasta 8 intentos, en los que el propio Wfuzz, segun la respuesta del servidor se daria cuenta que lo que le esta pidiendo para entrar, a parte del email y el password, es el captcha, aqui entraria en funcionamiento el "modulo" para reconocer captchas (al estilo jdownloader con megaupload) y volveria a intentarlo de nuevo hasta los 8 intentos.

Pregunto, esto seria posible???

Perdon por el tochacho!?

Salu2!
« Última modificación: 29 Enero 2010, 01:11 am por mordiskos » En línea

kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #7 en: 29 Enero 2010, 11:41 am »

si, si sería posible si consigues crear un módulo que bypasee los captchas
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
j.garcia2

Desconectado Desconectado

Mensajes: 126



Ver Perfil WWW
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #8 en: 30 Enero 2010, 16:24 pm »

Hola esto es interesante entre unos cuantos podiamos ver como hacerlo por cierto esta web: http://www.cod3g.com asegura dar las contraseñas a cambio de pagar esto puede ser cierto?
saludos.
En línea

BLOG DE INFORMÁTICA E INTERNET:
http://www.zonainformatica.org
mordiskos

Desconectado Desconectado

Mensajes: 242



Ver Perfil
Re: Fuerza Bruta con Wfuzz y Tuenti [DUDAS]
« Respuesta #9 en: 30 Enero 2010, 17:57 pm »

Hola esto es interesante entre unos cuantos podiamos ver como hacerlo por cierto esta web: http://www.SPAM(115) asegura dar las contraseñas a cambio de pagar esto puede ser cierto?
saludos.

Puede que sea cierto, pero lo que yo busco es aprender a hacerlo yo, y entenderlo.
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
wfuzz en local
Hacking
Unvoid 1 2,757 Último mensaje 17 Febrero 2023, 16:33 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines