[Java] BruteBeast (Tool wie AccessDiver)

Dieses Thema im Forum "Projekte / Codes" wurde erstellt von Chillikid, 14. März 2010 .

Schlagworte:
Seite 1 von 3
  1. #1 14. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    BruteBeast (Tool wie AccessDiver)

    BruteBeast

    NEUSTE VERSION: 1.4

    Beschreibung
    Ein Tool ähnlich AccessDiver, also für Dictionary-Attacks auf Webseiten. Natürlich nur auf Seiten, die euch gehören oder bei Pentests

    Features
    • Combolists oder User+Passlists
    • Mutationen
    • Multi-Threaded
    • Proxy Unterstützung
    • Basic Authentification
    • Detaillierte Konfiguration (z.B. Timeouts, Delays zwischen Requests)
    • Anti-Username/IP-Ban
    • Failure&Success Keywords (v1.1)
    • Verschiedene Ausgabeformate (v1.11)
    • Form-based Logins (v1.2)
    • Speichern der Konfiguration (v1.21)
    • Statistiken (v1.32)
    • User-Agent wählbar (v1.33)
    • FormAnalyzer (v1.4)

    Screenshots
    Spoiler
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]
    [​IMG]

    Download
    BruteBeast v1.4 Binaries

    BruteBeast v1.0 Source (Lizensiert unter GPL)

    Spoiler
    Ältere Versionen
    BruteBeast v1.36 Binaries

    BruteBeast v1.35b Binaries

    BruteBeast v1.35a Binaries

    BruteBeast v1.35 Binaries

    BruteBeast v1.34 Binaries

    BruteBeast v1.33a Binaries

    BruteBeast v1.33 Binaries

    BruteBeast v1.32 Binaries

    BruteBeast v1.31 Binaries

    BruteBeast v1.3 Binaries

    BruteBeast v1.21a Binaries

    BruteBeast v1.21 Binaries

    BruteBeast v1.2 Binaries

    BruteBeast v1.11 Binaries

    BruteBeast v1.1 Binaries

    BruteBeast v1.0 Binaries
    BruteBeast v1.0 Source (Lizensiert unter GPL)

    Changelog
    Ich würde mich über Kritik, Vorschläge und/oder Kommentare sehr freuen!
     
    + Multi-Zitat Zitieren
  4. #2 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Danke, ich habe es getestet, es funktioniert 1A!
    BW haste );

    mfg
     
    + Multi-Zitat Zitieren
  5. #3 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Finde dein Tool auch Klasse. Was mir besonders daran gefällt ist das die Bedinung sehr einfach ist und der Funktionsumfang nicht so überladen wie AccessDiver .

    Ne Projektseite wäre echt gut^^. Das man sich quasi immer die neuster Version herunterladen kann und nicht immer im Thread guggn muss^^.
     
    + Multi-Zitat Zitieren
  6. #4 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Wie sieht es mit einer Funktion aus, die nach Succes Keys schaut ?
    Um Fakes vorzubeugen.

    Sonst find ich das Ding garnet schlecht, besonders, da in Java ...

    bb. master80
     
    + Multi-Zitat Zitieren
  7. #5 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Du meinst also, dass alle gefundenen Logins nocheinmal getestet werden, ob sie auch wirklich funktionieren? Ist eine gute Idee, schreibe ich mir mal auf
     
    + Multi-Zitat Zitieren
  8. #6 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Jop, da die meisten Sites massig an Fakes produzieren, ist das schon sehr wichtig.
    Kannst einfach ja nach bestimmten Sachen im Quellcode der Site suchen lassen.
    Bzw. failure Keys, dass wenn diese vorkommen, der Axx halt nicht als Hit erkannt wird,
    dass ist z.B. gut, wenn man den Success Key, der Site nicht weiß.

    Kannst dir auch gerne mal die gängigsten BrutForcer ansehen ...
    Sentry ...

    Was natürlich noch ne Stufe besser wäre ... ein BruteForcer, der auch FormLogins knackt ...
    Ein Beispiel hierfür ist: Form@

    Und die Krönung wäre dann ein BruteForcer, der OCR's knackt ... aber erstmal kannste ja mal
    SuccesKeys / FailureKeys einbauen, sollte nicht so schwer sein

    Gruß - und mach weiter !

    bb. master80
     
    + Multi-Zitat Zitieren
  9. #7 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Soo da ich heute sowieso nichts zu tun hatte, habe ich die Keywords gleich mal realisiert. Allerdings ist das jetzt nicht allzu ausfürhlich getestet worden, falls also jemandem was komisches auffällt, Bescheid sagen

    Ob ich Form-Logins mache weiß ich noch nicht..wenn sich noch mehr dafür ausprechen aber bestimmt
     
    + Multi-Zitat Zitieren
  10. #8 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Also Form, wäre wirklich super ...
    Ich werde mal später einen Testlauf machen und das Ergebniss hier posten

    Mach weiter so

    bb. master80
     
    + Multi-Zitat Zitieren
  11. #9 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Kanns sein, dass du zweimal die selbe Version hochgeladen hast?^^

    Aber sonst nettes Programm, hab sogar paar Results bekommen, warn zwar paar Fakes dabei,
    aber das sollte sich dann mit Keys beheben lassen.

    Wärs vielleicht noch möglich die Results in der Form
    Content Management System in the Cloud with Site.com     zu exportieren?

    Mach weiter so, über eine Version mit Formlogin würd ich mich auch freuen. :]
     
    + Multi-Zitat Zitieren
  12. #10 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Jop stimmt, ist leider die gleiche Version ... muss er wohl falsch hochgeladen haben ...
    Die Ausgabe in:
    Content Management System in the Cloud with Site.com     --> wäre super, jedoch als Auswahl, da das nicht
    Site unterstützt.

    bb. master80
     
    + Multi-Zitat Zitieren
  13. #11 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Oh, dumme Sache, ich habe vergessen das Teil zu kompilieren, der Source war sogar der neue

    Naja hab' ich jetzt korrigiert. Das mit der alternativen Ausgabeform ist kein Problem, in der nächsten Version ist das drin
     
    + Multi-Zitat Zitieren
  14. #12 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Super, weiter so ... step by step und es kommt unser neuer SuperBruter raus

    bb. master80
     
    + Multi-Zitat Zitieren
  15. #13 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Soo ich war heute ja super fleißig

    Jedenfalls gibt es jetzt Form-Logins und nen paar kleinere Fixes. Viel Spaß
     
    + Multi-Zitat Zitieren
  16. #14 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    wollte gerade das mit den Forms testen nur es hat sich leider nichts getan

    Meine Post-Data: user_id=1&password=${pass}&submit=submit

    Nach einem Klick auf start hängt es kurz und dann tut sich nichts mehr. Es kam keine Fehlermeldung oder sonst iwas.
     
    + Multi-Zitat Zitieren
  17. #15 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Fehler die mir aufgefallen sind:

    - Das Programm speichert die Einstellungen nicht, wäre super, wenn du das noch einbauen
    könntest, denn es ist mühsam, das jedesmal einzustellen.

    - Es hat nichts getan, als ich alles eingetragen habe, habe ich auf START geklickt, habe
    die Combolist vergessen zu laden, hat er super angezeigt, dann jedoch als ich die Combolist,
    hinzugefügt habe, hat er dann nach dem klick auf START nichts gemacht und auch keine
    Meldung mehr ausgegeben, vielleicht kannst du das noch fixen ...

    - Eventuell kannst du noch eine Analyse für die Formfunktion einbauen, ala Form@, wäre hilfreich
    und komfortable

    Sonst, ist es ne schöne Alternative, da in Java, weiter so, mach es stabiler und weiter eine
    erhöhte Funktionsvielfalt und ich denke es wird einen großen Anhang finden

    von mir auch WEITER SO !
     
    + Multi-Zitat Zitieren
  18. #16 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Durchlaufen tuts bei mir schon, aber ich bekomme keine Hits. Auch wenn ich es mit den selben
    Einstellungen, Wordlist, Proxies wie im HTTP Bugger probiere.

    Das wär toll, bin ich auch dafür. :]

    Praktisch wär vielleicht noch eine Option mit der man Proxies gegen eine Seite checken könnte,
    aber das hat ja noch bis zu einer späteren Version Zeit.

    Freu mich schon auf die nächste Version.
     
    + Multi-Zitat Zitieren
  19. #17 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Hm, also nur der Form-Login geht nicht? Oder etwa auch der Basic-Auth? Ansonsten könnt ihr immer im Logfile gucken, da werden auch Debug-Nachrichten angezeigt, vielleicht ist da etwas draus ersichtlich.
    Ich gucke gleich mal drüber, was der Fehler sein könnte.

    Optionen speichern habe ich mir auch schon überlegt, wird sobald ich Zeit habe eingebaut!

    Was meint ihr mit Analyse für die Form-Funktion?

    Kann mir jemand von euch Form@ mal hochladen? Dann kann ich mir nen bisschen was abgucken Habe gerade kurz gegoogelt, finde aber nichts richtiges..

    Update
    ==========
    Ich habe den Form-Login getestet und er sollte nun funktionieren (hoffentlich..^^). Das Problem lag nicht im Algorithmus sondern lediglich an meiner Unfähigkeit die Nummern der Textboxen auseinander zu halten
    Also probierts aus und wenn es Probleme gibt, bitte auch das logfile posten oder wenn ihr das wegen den Logins nicht wollt per PN schicken/zensieren.
     
    + Multi-Zitat Zitieren
  20. #18 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Hier der Upload von Form@

    http://rapidshare.com/files/311364827/formfinal.zip

    Freu mich auch schon aufs neue Update !

    Bekomme folgendes:
    Code:
    21:57:12 [EXCEPTION] An unhandled exception occured.
java.lang.NumberFormatException: Value out of range. Value:"48558" Radix:10
 at java.lang.Short.parseShort(Unknown Source)
 at java.lang.Short.valueOf(Unknown Source)
 at java.lang.Short.valueOf(Unknown Source)
 at brutebeast.ProxyProvider.<init>(ProxyProvider.java:76)
 at brutebeast.View.createProxyProvider(View.java:1074)
 at brutebeast.View.jButton1ActionPerformed(View.java:1145)
 at brutebeast.View.access$200(View.java:47)
 at brutebeast.View$4.actionPerformed(View.java:258)
 at javax.swing.AbstractButton.fireActionPerformed(Unknown Source)
 at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source)
 at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source)
 at javax.swing.DefaultButtonModel.setPressed(Unknown Source)
 at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Unknown Source)
 at java.awt.Component.processMouseEvent(Unknown Source)
 at javax.swing.JComponent.processMouseEvent(Unknown Source)
 at java.awt.Component.processEvent(Unknown Source)
 at java.awt.Container.processEvent(Unknown Source)
 at java.awt.Component.dispatchEventImpl(Unknown Source)
 at java.awt.Container.dispatchEventImpl(Unknown Source)
 at java.awt.Component.dispatchEvent(Unknown Source)
 at java.awt.LightweightDispatcher.retargetMouseEvent(Unknown Source)
 at java.awt.LightweightDispatcher.processMouseEvent(Unknown Source)
 at java.awt.LightweightDispatcher.dispatchEvent(Unknown Source)
 at java.awt.Container.dispatchEventImpl(Unknown Source)
 at java.awt.Window.dispatchEventImpl(Unknown Source)
 at java.awt.Component.dispatchEvent(Unknown Source)
 at java.awt.EventQueue.dispatchEvent(Unknown Source)
 at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
 at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
 at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
 at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
 at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
 at java.awt.EventDispatchThread.run(Unknown Source)
    bb. master80
     
    + Multi-Zitat Zitieren
  21. #19 17. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Ah, ich weiß woher das kommt. Java kennt keine unsigned Felder, d.h. Zahlen sind immer vorzeichenbehaftet und können daher nur die hälfte des Zahlenbereiches annehmen (einmal neg. + einmal pos.). Daran hatte ich nicht gedacht und geglaubt ein short würde ausreichen.

    Habe jetzt das Feld vergrößert und nun sollte alles funktionieren. Danke auch für den Upload, master80.

    Changelog
    v1.21a
    Fix: internes Port-Feld hat nun korrekte Größe und stürzt daher nicht mehr ab
     
    + Multi-Zitat Zitieren
  22. #20 17. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Also läuft jetzt

    Was noch gut wäre, ein "Tab" mit ner Übersicht, welche Logins gefunden wurden, also im
    Brute-Prozess noch, laufenden betrieb ...

    Ich werde es mal bissl laufen lassen und nen langzeittest machen

    WEITER SO

    bb. master80
     
    + Multi-Zitat Zitieren
  23. #21 18. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Problem bei den Formfeldern:

    Ich habe eine Seite, die nach dem korrekten Login nichts ausgibt. Kein Wort, kein Quelletext, nichts, nur Cookies setzen. Nun hab ich versucht, unter success keys einfach nichts einzugeben, geht nicht. Leertaste würde sogar gehen, allerdings findet natürlich auch jeder falsche Login so eine Übereinstimmung obwohl er beim Failurekeys auch eine Übereinstimmung haben müsste, was anscheint nicht mehr geprüft wird, nachdem man schon beim success eine Übereinstimmung hat.

    Das Problem wäre zu lösen, wen man auch nur Failure Keys eingeben könnte und nicht beide.

    Frage:

    was ist Mutationen?
     
    + Multi-Zitat Zitieren
  24. #22 18. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: BruteBeast (Tool wie AccessDiver)

    Ist gemacht! Mutationen sind Veränderungen der Wörter, wenn du z.B. im Mutation-File folgendes stehen hast:
    Code:
    123
666
    und im Userfile das hier:
    Code:
    bob
alice
    würde bei bestimmten Einstellungen das hier abgefragt werden:
    Code:
    bob
bob123
bob666
alice
alice123
alice666
    @master80
    Die Logins anzuzeigen habe ich bis jetzt noch nicht einbauen können, kommt aber bestimmt bald. So lange kannst du ja einfach im login-file nachsehen, sie werden sofort nach dem Fund hineingeschrieben.

    Update
    ============
    Changelog
    v1.3
    Neue Proxy-Oberfläche:
    • Laden aus Datei
    • Laden aus Zwischenablage
    • System schließt nicht funktionsfähige Proxies nun für alle folgenden Durchläufe aus
    Proxyliste wird automatisch gespeichert
    Möglichkeit, richtige Form-Logins nur am Fehlen des Failure-Keywords zu erkennen
    [​IMG]

    Weiterhin ist einiges intern geändert worden. Ich hoffe, dass ich keine neuen Bugs erzeugt habe
     
    + Multi-Zitat Zitieren
  25. #23 19. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: BruteBeast (Tool wie AccessDiver)

    Neue Version: v1.31

    Changelog
    Mutations-Dateipfad ist standardmäßig leer
    Anzeige von gefundenen Logins während des Brute-Vorgangs
    GUI-Verschönerungen
    Fix: Manche Exceptions wurden als "No proxy left but usage is enforced." angezeigt, obwohl es andere waren

    No File | xup.in

    Viel Spaß damit!
     
    + Multi-Zitat Zitieren
  26. #24 19. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Respekt, wird ja immer besser!

    Drei Kleinigkeiten die mir noch auf die Schnelle aufgefallen sind:

    • wie wärs mit einer Anzeige wieviel Proxys noch nutzbar sind? Evtl auch eine Anzeige Cracks pro Sekunde?
    • wär cool, wenn er beim Auswählen von Combolist/Proxylist nicht immer in die Eigenen Dateien
      springen würde, sondern im Root Ordner bleiben würde
    • und wenn unterm Cracken die gefundenen Logins entweder direkt aufrufbar wären oder er sie
      gleich in die found_logins schieben würde

    Aber sonst top!
     
    + Multi-Zitat Zitieren
  27. #25 20. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Wirklich großes Lob an dich !
    Die Updates kommen schnell und setzen genau um, was man sich vorstellt.
    Das Programm lief beim Test gut durch, habe mit meiner Wordlist viele Hits gehabt.
    Ich werde heute Nacht mal die neue Version durchlaufen lassen und eventuell noch
    Formbrute-Test hinterherhängen.

    Das Programm wird immer besser !
    Soll dir auch nen Lob von 2 Bekannten von mir ausrichten, die Usen das Beast nun auch !

    bb. master80
     
    + Multi-Zitat Zitieren

  28. Videos zum Thema
    Video Script
Auf dieses Thema antworten
Seite 1 von 3
Die Seite wird geladen...

Ähnliche Themen mit den Stichworten: Java BruteBeast Tool

  1. BladeFire
    Bombermann in Javascript schreiben! (Canvas vs SVG)
    BladeFire, 21. Dezember 2018 , im Forum: Programmierung & Entwicklung
    Antworten:
    0
    Aufrufe:
    4.004
    BladeFire
    21. Dezember 2018
  2. devusr
    Aptana Editor alte Version von Java?
    devusr, 3. März 2018 , im Forum: Webentwicklung
    Antworten:
    7
    Aufrufe:
    4.086
    raid-rush
    5. März 2018
  3. vs70
    JavaScript readAsBinaryString Function on IE10-IE11
    vs70, 18. Dezember 2016 , im Forum: Webentwicklung
    Antworten:
    0
    Aufrufe:
    3.984
    vs70
    18. Dezember 2016
  4. sun0025
    Variable aus JavaScript in PHP übergeben
    sun0025, 4. November 2016 , im Forum: Webentwicklung
    Antworten:
    6
    Aufrufe:
    3.349
    sun0025
    7. November 2016
  5. sfx
    Chrome: Seiten laden nicht, vermutlich fehler in javascript?
    sfx, 2. Dezember 2015 , im Forum: Windows
    Antworten:
    2
    Aufrufe:
    1.679
    sfx
    2. Dezember 2015