Привет, пытаюсь пробрутить этот сайт _www.zzima.com двумя брутами - wwwhack и WebBruteForce , но не выходит, сайт какой-то замороченный, но защиты от перебора нету, проблема заключается лиш в постановке правильных данных, чтобы брут всё таки заработал. Собственно вопрос, можно ли вообще пробрутить этот сайт, и если возможно, скажите что надо вписывать в том или ином бруте. Заранее благодарен. p.s. Перед модераторами извиняюсь если создал тем не там, я долго исал куда бы приткнуться, вроде это самый подходящий раздел
1)ставь какойнить сниффер (например naviscope) 2)сниффай чё шлёт при авторизации 3)вписывай в брут 4)????? 5)PROFIT!
HTTP/1.0 200 OK Server: nginx/0.6.32 Date: Mon, 29 Mar 2010 18:56:54 GMT Content-Type: text/html; charset=utf-8 Connection: close X-Powered-By: PHP/5.2.6-1+lenny8 Expires: Mon, 26 Jul 1997 05:00:00 GMT Last-Modified: Mon, 29 Mar 2010 18:56:54 GMT Cache-Control: no-cache Pragma: no-cache Cache-Control: post-check=0, pre-check=0 Set-Cookie: PHPSESSID=f4cf50f8e34e8a16878b30db78f0b6f1; path=/ Set-Cookie: userhash=f4cf50f8e34e8a16878b30db78f0b6f1; expires=Mon, 29-Mar-2010 19:56:54 GMT; path=/; domain=.zzima.com Set-Cookie: pLogin=1; expires=Mon, 29-Mar-2010 17:56:54 GMT; path=/ Set-Cookie: PHPSESSID=f4cf50f8e34e8a16878b30db78f0b6f1; path=/ Set-Cookie: userhash=f4cf50f8e34e8a16878b30db78f0b6f1; path=/; domain=.zzima.com Vary: Accept-Encoding Content-Length: 30 HTTP/1.0 200 OK Server: nginx/0.6.32 Date: Mon, 29 Mar 2010 18:56:54 GMT Content-Type: text/html; charset=utf-8 Connection: close X-Powered-By: PHP/5.2.6-1+lenny8 Expires: Mon, 26 Jul 1997 05:00:00 GMT Last-Modified: Mon, 29 Mar 2010 18:56:54 GMT Cache-Control: no-cache Pragma: no-cache Cache-Control: post-check=0, pre-check=0 Set-Cookie: PHPSESSID=f4cf50f8e34e8a16878b30db78f0b6f1; path=/ Vary: Accept-Encoding Только я что-то не могу понять, что с этим делать...
смотришь исходную разметку Code: <form id="loginForm" method="post"> <p><span class="fl smallerror"><span id="badlogin" style="display:none;"><b>неправильный логин или пароль</b></span></span></p> <p><input id="login" type="text" name="data[email]" value="Логин" class="input" /></p> <p><input id="password" type="password" name="data[password]" value="Пароль" class="input" /></p> <table> <tr> <td><input type="submit" value="Войти" class="button-login" /></td> <td><input type="checkbox" id="login_save" name="remember" /></td> <td><label for="login_save">запомнить</label></td> </tr> </table> <p><a href="javascript:;" id="resetPassword">напомнить пароль</a></p> </form> метод: POST data data[password] отсылается через AJAX на http://www.zzima.com/ajax.php?page=account&action=login
Нашел вот такой интересный код, по моему реальные значения логина и пароля #loginBig и #passwordBig соответственно..... Если я прав, то возможно ли вообще тогда перебирать пароли на этом сайте ? Если да то какие значения надо подставлять в атрибутах Submit-кнопки, и в отсутствии или присутствии текста. Да, как мне кажется, там авторизация идет по двум типам... в общем поправьте если я не прав, и подскажите что делать.. заранее благодарен.
Скачать и установить http://python.org/ftp/python/2.6.5/python-2.6.5.msi http://www.sendspace.com/file/8nbzyu Попробуешь так - логины в logins.txt, пароли - в passwords.txt
Не работает, везде пишет "Неудачная попытка" , даже если я пишу реальный логин и реальный пароль (работающие) , да и переберает крайне медленно, плюс постоянные ошибки соединения.. _http://s005.radikal.ru/i210/1003/bc/423f6515e511.jpg за попытку помочь всё равно спасибо... Тема остается актуальной.
Втык канешн страшная сила Теперь брут работает http://www.sendspace.com/file/uu106i Крайне медленный перебор - он однопоточен, многопоточность даром я делать не буду. Ошибки соединения - походу там стоит защита какая-то, по поводу этого можешь особо не нервничать, акк в таком случае не пропускается, а происходит еще одна попопытка подобрать пароль (рекурсивно). Подойдёт скорее как чекер, а не брут
К сожалению, всё равно не работает, то есть работает НО , крайне медленно, брутить буду хотя бы 1 акк бесконечность.... выкидывает через 1-2 минуты перебора, и не сохраняет результат... Ты можешь на основе своего скрипта сказать какие данные надо вводить в нормальный брут ? Типа wwwhack`a или WebBruteForce ?
Какие там правильные настройки нужно забивать я не знаю, так как обычно сам себе пишу и чужими поделками не пользуюсь. При запросе идет два параметра data - логин data[password] - пароль Отправляются на http://www.zzima.com/ajax.php?page=account&action=login Ответ приходит в формате json, если попытка удачана, то ответ выглядит так [CODE] {"result":true,"message":true} [/CODE]если неудачна то так [CODE]{"result":false,"info":"<div id=\"error\" style=\"text-align:left;line-height:17 px;padding:10px;\">\r\n\t<b>\u0412\u043e\u0437\u043d\u0438\u043a\u043b\u0438 \u0 441\u043b\u0435\u0434\u0443\u0449\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u04 38<\/b>\r\n\t<ul>\r\n\t\t<\/ul>\r\n<\/div>\r"}[/CODE] И по поводу вылетов поподробнее - не должен он вылетать + удачно сбрученно должно бы сохраняться сразу.
Объясните пожалуйста, что я делаю не так ? Что писать в дополнительных переменных ? И надо ли вообще ? Скрин ------>>> _http://s50.radikal.ru/i127/1003/12/c5bf0f0e5ad4.jpg
Атрибуты сабмит кнопок попробуй убрать это раз. Во вторых - в моем варианте есть два момента: 1 - В файлах не болжно быть пустых строчек это раз. 2 - Если в логинах/паролях есть кириллица, то файл должен быть сохранен в кодировке UTF-8 (Notepad++ поможет)
