Foro de elhacker.net

Seguridad Informática => Hacking Ético => Mensaje iniciado por: rembolso en 9 Abril 2012, 06:49 am



Título: Simple tool para inyectar pass en páginas webs
Publicado por: rembolso en 9 Abril 2012, 06:49 am
hola les traigo una herramienta para  inyectar pass en páginas web no tan seguras Ejemplo todas aquellas que utilizan un codigo de verificación de palabras o aquella que no posea ningun código de verificación ni conexiones SSL(seguridad de socket layer)
images de como usar :
inicio : dirigir con el navegador sin proxy a la web., rellenar los cambos de forma correcta menos la contraseña . ahora sigue estos pasos
 paso 1 : configurar el navegador para utilizar el interprete de conexión
(http://img714.imageshack.us/img714/5264/96414669.png)

(http://img805.imageshack.us/img805/7946/85445223.png)


ejecutar el BX interpreter (en mi caso me equivoque y puse de user : textpacketxy es testpacketx,)
paso 2 ponemos estar al puerto 80 o el que se nos cante. y con el proxy ya configurado ponemos conectar ,enter o lo que sea determinado para iniciar el usuario

(http://img171.imageshack.us/img171/9528/73305161.png)
 a continuación recibimos datos  de la conexión , es lo que no sirve , pinchan en la  listview la conexión deseada.
copiamos los datos y abrimos el packetx.exe
donde dice  ip es el host sin el http, el host que nos larga el dato.
 
paso 3 configuramos el dato recibido con los comando.
donde dice conten - leng colocamos: %%lEN%%
respetando los espacios y bites que tenemos . un error al editar el contenido de  forma incorrecta , la conexión es nula.

%%Start%%:  es donde la tool comenzara la lectura de datos
%%End%%: termina la lectura de datos
$$INYECT##: es dato a inyectar del diccionario
%%Set_Range$$: esto es opcional , inyecta un numero random entre (99 *99)
ideal para manejar cokkies o cesiones de datos

 i nos  queda de esta forma
(http://img716.imageshack.us/img716/3879/42333248.png)
paso 4
colocamos la ruta del diccionario , por motivos de buffer solo posee la capacidad de 999999 palabras (no letras), clic en abrir y luego clic en star.
(http://img802.imageshack.us/img802/6831/98937123.png)

dentro de 2 segundos se ven los resultados
(http://img221.imageshack.us/img221/1764/79563965.png)

paso 5 (para facilitar un poco las cosas)
programe una herramienta para ver el contenido de un code gzip
llamado gzip.exe , muy facil de usar, solo hay q indicar la cantidad de conneciones que tenemos en el packetx
(http://img85.imageshack.us/img85/5163/76591626.png)
NOTA:teneis que habilitar en la parte de configuracion de packetx la casilla de interprete de gzip puerto 80 , si larga error , es porque tenemos el puerto 80 ocupado con otra aplicación

EJEMPLO:
VEMOS QUE Con la cadena choripan no hace efecto miren.
(http://img850.imageshack.us/img850/7420/60118982.png)

con la cadena rembolso(que es la contraseña del usuario testpacketx miren lo que aparece)
(http://img195.imageshack.us/img195/2049/43667084.png)
miren la parte de usuarios log : aparece testpacketx

atencion : EL CONJUNTO DE TODOS ESOS SOFT SEGURO TIENEN ERRORES , POR FAVOR IMFORMAR
LES PUSE LAS OCX para que funcione sin problemas , solo registrenlas.
descarga: (ocx,bx-interpreter,gzip,packetx, ejemplos)
http://www.filefactory.com/file/63wnhil8p35f/n/final.rar


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: DefaultUser en 10 Abril 2012, 21:02 pm
te podria pasar un ID de una página que no tiene limite de intentos y me sacas la pass?

jeje no entiendo bien esto...


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: rembolso en 10 Abril 2012, 23:31 pm
PASAME EL DICCIONARIO(LISTA DE CONTRASEÑAS)  Y LA PAGINA WEB Y TE DIGO LOS RESULTADOS..
NOTA: TAMBIEN PASAME EL USUARIO.
saludos


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: DefaultUser en 11 Abril 2012, 04:02 am
PASAME EL DICCIONARIO(LISTA DE CONTRASEÑAS)  Y LA PAGINA WEB Y TE DIGO LOS RESULTADOS..
NOTA: TAMBIEN PASAME EL USUARIO.
saludos


Cuando pongo la ruta del diccionario y pongo open, me aparece la lista pero al mismo tiempo me tira run time error 360  :xD

Mejor te paso el ID y la página y lo haces vos responde el mensaje privado ^^


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: Graphixx en 11 Abril 2012, 05:56 am
Compañero en los ejemplos que incluye el paquete, hay codigo fuente de paginas web vulnerables a este ataque como para que el laboratorio quede completo, o alguien sabe de donde conseguir el codigo fuente de una o varias paginas vulnerables para que el lab nos quede full.


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: TheAlem3t en 19 Mayo 2012, 01:17 am
Hola reembolso, te puedo pedir un favor...
Es que quiero las contras de unos usuarios de una página web.
La página es www.hachasydados.es/foro
Lo que quiero son las contras de las siguientes Log:

Karlos
Marauder
Milotic

Solo necesito las cuentas del foro.
Si me puedes hacer el favor de lo agradezco mucho. =D

Me mandas los Logs por MP porfas.

Saludos!  :D  ;-)


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: Di~OsK en 19 Mayo 2012, 05:36 am
Hola reembolso, te puedo pedir un favor...
Es que quiero las contras de unos usuarios de una página web.
La página es www.hachasydados.es/foro
Lo que quiero son las contras de las siguientes Log:

Karlos
Marauder
Milotic

Solo necesito las cuentas del foro.
Si me puedes hacer el favor de lo agradezco mucho. =D

Me mandas los Logs por MP porfas.

Saludos!  :D  ;-)

(http://profile.ak.fbcdn.net/hprofile-ak-snc4/174866_184625181651299_1275931632_n.jpg)


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: int_0x40 en 19 Mayo 2012, 18:11 pm
El archivo ya no se puede descargar para revisar cómo funciona el proceso de brute force. Mi duda es si es una utilidad que sirva para esquemas de autenticado basado en formularios HTTP/HTML o también sirva para automatizar en BASIC HTTP..

Saludos.


Título: Re: Simple tool para inyectar pass en páginas webs
Publicado por: m0rf en 19 Mayo 2012, 18:21 pm
Es un ataque por fuerza bruta, ni mas ni menos.

Saludos.