#26 20. März 2010 AW: BruteBeast (Tool wie AccessDiver) Hm, ich denke das dürfte heute noch fertig werden Vielen Dank für eure Unterstützung, freut mich sehr, dass das Programm so gut ankommt.:] Edit: Mir ist gerade aufgefallen, dass irgendwas mit den Proxys nicht stimmt. Bei mir funktioniert es momentan irgendwie nur ohne. Ich weiß jetzt nicht genau, welche Versionen betroffen sind, aber updatet bitte vorerst nicht. + Multi-Zitat Zitieren
#27 20. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Neue Version v1.32: Unbedingt updaten! Download: BruteBeast_v1.32.jar | www.xup.in Ich habe seit v1.3 leider einen Fehler mit den Proxys eingebaut, der zur Folge hatte, das viele Logins übersprungen wurden, weil zB. der Proxy nicht geantwortet hat. Das ist mit der neuen Version nun zum Glück nicht mehr der Fall. Bitte löscht eure Konfigurationsdatei (bb.std.cfg)! Changelog v1.32 Fix: Jeder Login wurde nur ein Mal getestet, egal ob der Versuch erfolgreich war oder nicht (bspw.: Proxy-Error) Fix: Obwohl noch Proxys über waren, wurde Ausgegeben, dass alle verbraucht seien und der Vorgang abgebrochen Fix: Wenn die Proxys mehrmals benutzt werden sollen, gilt das Limit nun nicht mehr Add: Anzahl der verbleibenden Proxys Add: Erfolgreiche Requests pro Sekunde Add: Report am Ende zeigt nun an, wie lange der gesamte Vorgang dauerte Change: Datei-Öffnen-Dialog startet nun im Programmverzeichnis Change: Gefundene Logins werden sofort in das login_logfile geschrieben Change: Das login_logfile wird nicht mehr überschrieben, sondern hinten drangehängt + Multi-Zitat Zitieren
#28 20. März 2010 AW: BruteBeast (Tool wie AccessDiver) Hat jemand für mich eine geeignete Pass- und UserList zum testen? Die Userlist am besten für XXX-Seiten... Wäre nett wenn mir jemand helfen kann! (SuFu+Google nichts geeignetes gefunden) greetz + Multi-Zitat Zitieren
#29 20. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Download: XXX_Combo-ever_07-10.txt | www.xup.in Versprich dir net viel von, wird dir sicherlich keiner eine geben, die viele Hits ergibt ... Selbst erstellen, dann gibts auch gute Hits, die Public Combos sind schlecht, da tausend Leute die dann durchscannen und die Acces schnell down sind ... P.s. NICE NICE NICE deine schnellen Updates ! bb. master80 + Multi-Zitat Zitieren
#30 20. März 2010 AW: BruteBeast (Tool wie AccessDiver) Kriegt man dann schon direkt die Reults oder muss ich dir vorher nochmal checken? Was hat es mit der "Mutation"-Option auf sich? Vertauscht der dann user ass ? EDIT: Kannst du den Output dahingehend ändern, dass nur noch ein Pass pro Zeile ist? Sonst ist es ein wenig unübersichtlich... + Multi-Zitat Zitieren
#32 21. März 2010 AW: BruteBeast (Tool wie AccessDiver) Übersehen... Danke! Aber eine Frage steht noch offen: Wenn ich die Option nutzen will brauche ich laut dem Post eine Userfile und eine Mutationenfile aber kann ich dann das Feld für die Passlist einfach frei lassen oder muss ich da auch eine auswählen? + Multi-Zitat Zitieren
#33 21. März 2010 AW: BruteBeast (Tool wie AccessDiver) Du musst vermutlich eine Auswählen da es die Users nur "erweitern" und nicht die PW's ersetzt. + Multi-Zitat Zitieren
#34 21. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Also, um das mal zu klären: Mutationen funktionieren sowohl bei Combolisten als auch bei User+Passlisten. Bei letzterer Option wird natürlich trotzdem beides gebraucht. Man kann auswählen, ob sich die Mutation auf den Username, das Password oder auf beides auswirkt. Weiterhin, ob die Mutation vorne oder hintn an das Wort gehängt wird und ob Zahlen aneinander gehängt werden sollen oder nicht. Oh ja, tut mir leid, ich habe das Zeilenumbruchzeichen in der neuen Version vergessen. Fixe ich sofort Update: v1.33 Mini-Update: v1.33a No File | www.xup.in + Multi-Zitat Zitieren
#35 22. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Update: v1.34 Download: Aryan_Radar_0.1Alpha.rar | www.xup.in Das Programm ist jetzt an einem Punkt angelangt, an dem (wahrscheinlich) alle Bugs ausgemerzt sind. Wenn ihr noch Vorschläge für weitere Features/Verbesserungen habt, immer her damit + Multi-Zitat Zitieren
#36 6. April 2010 AW: BruteBeast (Tool wie AccessDiver) Vorschlag von mir noch: - die Threads sollte man ändern können, wenn er am bruten ist ... also mehr oder weniger ... Sonst läuft das Ding richtig gut bis jetzt, hat Sentry bei mir abgelöst Und einige die ich kenne, sind auch mit dem Teil sehr zufrieden ! Vielleicht schaffte es noch den Form-Scan so hinzubekommen, dass er die Site analysiert wie Form@ ... bb. master80 + Multi-Zitat Zitieren
#37 6. April 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Das war 'ne relativ simple Geschichte, man kann jetzt den Brute-Vorgang pausieren, währenddessen die Einstellungen ändern, wie man möchte und dann weiterlaufen lassen! Update v1.35 Code: Add: Pause-Funktion; während der Pause können Einstellungen geändert werden, die dann beim weiterlaufen übernommen werden Change: Titelleiste aufgeräumt und Credits in einen About-Dialog gepackt No File | www.xup.in Ich habe sogar schon mal angefangen nen Form-Analyzer einzubauen (Teile davon befinden sich sogar noch im Programm ), aber es ist einfach total umständlich und deswegen habe ich die Lust dran verloren. Es ist ja nicht so, dass es schwierig ist, die benötigten Felder selber aus der Webseite zu lesen, von daher denke ich, es ist nicht weiter schlimm. Wenn ich doch noch mal Lust drauf bekomme, versuch ich's nochmal. + Multi-Zitat Zitieren
#38 8. April 2010 AW: BruteBeast (Tool wie AccessDiver) Wie wäre es mit nach einer zufälligen Zahl von Zugriffsversuchen gewechselten User-Agents? Evtl. wäre in Kombination damit auch eine Funktion zum Hinzufügen von eigenen User-Agents sinnvoll. + Multi-Zitat Zitieren
#39 8. April 2010 AW: BruteBeast (Tool wie AccessDiver) Joa, ist wohl ganz sinnvoll. Beim nächsten Update wird da was dabei sein Ich wurde gerade per PN gefragt, was man bei den Form-Logins eintragen muss, daher erkläre ich das hier noch einmal für alle: Ganz generell einfach, das, was euer Webbrowser auch abschickt. Das sieht folgendermaßen aus: Code: field1=abc&field2=def&field3=ghi Also immer der Name des Feldes, ein Gleichheitszeichen und dann der Wert bzw. ${user} und ${pass}. Jetzt noch ein Beispiel: Code: <div class="login_form"> <form method="post" action="" name="login" id="login"> <input name="ac" value="dologin" type="hidden"> <table class="log_tab" border="0" cellpadding="0" cellspacing="0"> <tbody> <tr> <td class="text_login">Benutzername:</td> <td class="field_login"><input name="login" class="sinput" type="text" value=""></td> <td>Passwort:</td> <td class="field_passwd"><input name="passwort" class="sinput" type="password"></td> <td class="login_btn"><input type="submit" value=""></td> </tr> </tbody> </table> </form> </div> Der korrekte Term für das Programm wäre dann folgender: Code: ac=dologin&login=${user}&passwort=${pass} Worauf ihr auch noch achten solltet, ist das action-Attribut im Form-Tag. Nicht immer ist dieses leer (d.h. die Informationen werden an die aktuelle Seite geschickt) und in solch einem Fall müsstet ihr dann die URL entsprechend abändern. Das hört sich jetzt ziemlich kompliziert an, aber wenn man ein wenig über den Aufbau von Webseiten und Forms bescheid weiß (und davon gehe ich aus, wenn man so ein Tool benutzt), sollte es keine Hürde darstellen. + Multi-Zitat Zitieren
#40 14. April 2010 AW: BruteBeast (Tool wie AccessDiver) Also wie schonmal gesagt, das Programm läuft wirklich geil Was mir jetzt noch fehlt wäre ein Captcha-Erkenner implementiert, dies ist wohl jedoch bissl schwer um zu setzten oder ? Weil das wäre die Krönung bb. master80 + Multi-Zitat Zitieren
#41 15. April 2010 AW: BruteBeast (Tool wie AccessDiver) Danke für das Kompliment Naja also ich habe im Moment recht wenig Zeit, daher gibts bisher ja auch immer noch keine neue Version. Und Captchas...ist wirklich ziemlich schwer, vor allem weil ich auf dem Gebiet einfach keinerlei Erfahrung habe. Weiterhin denke ich doch, dass auf verschiedenen Webseiten auch viele verschiedene Captcha-Systeme zu finden sein werden, von daher dürfte eine Universallösung nur schwer machbar sein. Vllt. les ich mich da mal ein bisschen rein, in der nächsten Zeit ist das aber nicht zu erwarten. Aber immerhin ein kleines Update sollte in den nächsten Tagen erscheinen:] + Multi-Zitat Zitieren
#42 15. April 2010 AW: BruteBeast (Tool wie AccessDiver) Ok, auf das neue Update freut man sich schon Captchas wie schon erwähnt wohl sau schwer. Eventuell kannst dir ja mal Captcha Killer oder TVocr angucken, die haben das eigentlich ganz gut gelöst, da muss man selbst bissl die Grafik bisschen verbesser, über Filter laufen lassen. Nur leider sind die Programme schon alt und kommen mit den neuen Seiten einfach nicht mehr klar, ein neues Programm wäre einfach der Hammer Mach einfach weiter so super Programm ! Wenn du magst kann man sich ja mal im ICQ adden -> PN //edit: normal mach ich nicht soviele Smileys ^^ bb. master80 + Multi-Zitat Zitieren
#43 16. Mai 2010 AW: BruteBeast (Tool wie AccessDiver) eine Unterstützung für form-ids bzw sids fehlt noch - die vermisse ich auch bei accessdiver + Multi-Zitat Zitieren
#44 17. Mai 2010 AW: BruteBeast (Tool wie AccessDiver) Was willst du sagen? Wenn du mit "form-ids" das ID-Attribut der Form(en) meinst, dann verstehe ich nicht was du meinst. + Multi-Zitat Zitieren
#45 17. Mai 2010 AW: BruteBeast (Tool wie AccessDiver) Manche webseiten erzeugen Session-IDs (in irgendeiner form), die sie in die html-forms einbetten. Diese session IDs müssen dann im POST mit zurück geschickt werden, sonst ist klar, dass man vorher garnicht auf der seite war, die das Formular enthält. also: (Login-)Seite aufrufen eingebetteten sid "auslesen" POST mit name, passwort und sid noch ne kleinigkeit: sollte "success keys" und "Faliure keys" nicht bei "Basic Authentification" disabled sein? + Multi-Zitat Zitieren
#46 18. Mai 2010 AW: BruteBeast (Tool wie AccessDiver) Warum sollten sie? Popups spucken zum Teil massiv Fakes aus, da sind Failure Keys dann doch recht praktisch. + Multi-Zitat Zitieren
#47 18. Mai 2010 AW: BruteBeast (Tool wie AccessDiver) Also, in der momentanen Programmstruktur ist das nicht gut umzusetzen. Da ich aber eigentlich schon lange mal wieder was am Beast machen will, es aber nie geschafft habe (das letzte angekündigte Update ist nie erschienen ), denke ich gerade über ein Redesign nach. Darin würde ich versuchen, alles Modularer aufzubauen und dem User somit mehr Freiheiten zu geben um z.B. die angesprochenen doppelten Requests durchzuführen. Allerdings wird das so schnell wahrscheinlich nichts, man kann sich definitiv auf eine längere Wartezeit einstellen. + Multi-Zitat Zitieren
#48 17. Juni 2010 AW: BruteBeast (Tool wie AccessDiver) Überall ist hier die Rede von BruteForce Attacken auf .htacces Passwort Felder. Leider seh ich in dem Programm keine Möglichkeit BruteForce Attacken auszuführen sondern nur Wortlistenabklapperei? + Multi-Zitat Zitieren
#49 18. Juni 2010 AW: BruteBeast (Tool wie AccessDiver) Soweit ich das überblicken kann, hat hier niemals jemand was von BruteForce gesagt. Das Programm bietet, wie du richtig erkannt hast, lediglich Dictionary-Attacks. Außerdem geht es nicht nur um per .htacces geschütze Webseiten, sondern auch um Form-Logins. Wenn du BruteForce wirklich für nötig hältst, generiere dir halt einfach eine entsprechende Wordlist. + Multi-Zitat Zitieren
#50 18. Juni 2010 AW: BruteBeast (Tool wie AccessDiver) Ich will mich nicht mit dem Coder dieses Programm's streiten, aber dann Beschreib deine Sache demnächst besser. Dictionary-Attacken funktionieren auf beidenen Ebenen aber sehr gut . + Multi-Zitat Zitieren