analisis del site a atacar. Lo primero es ver si el site es atacable por brute force o no, esto es debido al tipo de seguridad que pueda tener, existen varios. -popup - form - strongbox - ocr para tener un buen aprendizaje y no quedar en el camino frustrado por no poder encontrar buenos resultados se debe empezar atacando en el siguiente orden. primero intentar con los popups luego con form, strongbox y finalmente ocr. Luego se debe analizar el tipo de combo, es decir el login y user que se debe poner, para ello debemos tener en cuenta la cantidad minima y maxima de caracteres que acepta y lo mas importante es si el site deja elegir el user y pass (rafael:torito), sino, quiere decir que ellos te envian estos datos via mail y son randomisados, que quiere decir esto, bueno que el user y pass es una combinacion de caracteres al azar (af?@12:AssEt4). Tambien debemos saber la url de members. Como logramos saber lo anterior: pej. site: http://bangbrosnetwork.com/ - habrimos el site. - intentamos entrar en la zona de members y nos damos cuenta que tiene seguridad popup. - entramos a la seccion de suscripcion. con esto ya tenemos los parametros del login y pass Ya con estos datos sabemos a que atenernos, es decir si es atacable o no (en este caso lo es y tiene seguridad popup), si lo es, tipo de wordlist(combo) a utilizar (en este caso login y pass deben estar entre 3 y 10 caracteres) y tipo de herramienta que utilizaremos para el ataque. Bueno ya efectuamos el analisis ahora veremos que es lo que sigue. Para atacar un site necesitamos: -El soft adecuado acorde al tipo de seguridad. En algunos casos podemos utilizar mas de un programa para hacer esto, por ejemplo aqui se posteo un manual de accesdiver, el cual es un exelente programa con el que se puede atacar seguridad popup y form, trabajar con wl y proxys, pero hay otros con los que podemos realizar un ataque. - una wordlist, que no es nada mas que un listado de combinaciones de caracteres puestos en el siguiente formato tatooo:123jabali - un listado de proxies anonimos, bueno en estos dias esta dificil hacerse de una buena lista, para esto les recomiendaria registrarse en foros especificos donde diariamente se postean listas frescas, luego les dare una lista. - Como conseguir combos: Pueden encontrar combos, pero puede que no sean tan efectivos ya que generalmente ya los han usado bastante, lo mejor es crearse uno su propia lista, como, bueno con don google y ad (accessdiver), yo hago esto, hay otras maneras pero ustedes despues pueden elegir. Ya, buscan un hit de alguna pagina, por ejemplo: maka00:21351600 ingresan este en google ahora se copian esas urls en webwordleecher de ad. http://img147.*************/img147/2669/adwordlist.th.jpg las que aparecen no son las que corresponden, solo es para que vean donde colocarlas. bueno y solo deben hacer click en start leeching y esperar. bueno hacen esto con varios combos que funcionen o que ustedes sepan que funcionaban hasta hace poco y los ponen en google y tendran una wordlist fresquita. Bueno, vamos a ver donde conseguir proxies anonimos y como verificar que sean anonimos. Para ello les proporciono una lista de foros de donde obtenerlos, deben registrarse e ir a la seccion de proxies y buscar los que digan anonimos, hay algunos donde en topic ponen de todos los tipos ya les explicare como obtener de esos los que nos sirven. Les voy a pasar tres programas, existen mas pero les voy a postear los que uso, ustedes pueden conseguir otros y ver cual les acomoda. Uno es el Charon que sirve para testear los proxies y ver los que son anonimos, muy buen programa y el mas usado, el que les posteo ya esta configurado. link en rapidshare collector (no puedo usar la cuenta premium por que no es mia, jeje.) http://rapidshare.com/files/216555773/charon_0.6.rar El otro es un programa verificador de proxys, es decir le ponen una lista y les dice cual esta activo (poner listas de unos 2000 proxies a chequear por vez). http://rapidshare.com/files/216556268/Proxy_Valid_G.E.v1.rar Y el último es un lecheador de proxys, es decir se le pone un listado de links que contienen listado de proxies y el programa los extrae. http://rapidshare.com/files/216574013/I-PLeechGold.rar Bueno, les voy a explicar en forma general como hacer esto: Se deverian obtener dos listas de los foros, una que saben que son proxies anonimos, pero no saben cuantos estan activos y otra donde hay proxies anonimos y no anonimos juntos. Copian las listas de proxies anonimos de los foros en un txt. Copian las listas de proxies de diferentes tipos en otra, estas se encuentran generalmente en foros donde no se especifica el tipo de proxies que se postean, por ejemplo en el link www.desiheart.net/forum/index.php como ven en la imagen no especifica sin anonimos, no anonimos, ssl, etc. Luego corren el programa ipleechgold, limpian la lista que trae por defecto haciendo click en clear, luego cargan la lista que va dentro del rar llamada "url proxies por mi" y le dan click a star, al terminar guardan la lista en un txt y luego esta lista la agregan a la que obtuvieron de los foros donde se postean de todos los tipos y asi nos quedan dos listas. Antes de hacer el testeo debemos filtrarlas, lo hacemos con charon, cargamos la primera lista y luego la segunda, automaticamente nos eliminara los duplicados y luego a cada una debemos eliminar los puertos 3124, 3127 y 3128 que se consideran peligrosos, a la lista de proxies generales le corremos el programa proxyvalid y asi logramos tener dos listas limpias para empezar con el testeo. Cargar al charon las listas, hacer click en la pestaña "check proxies" y luego "check anonimity of all proxies" y esperar, al terminar el testeo click en "filter list", "filter doggy/duplicates/gateway" y tambien en "delete non-anon" el resultado de esto lo copian en un txt, hacen lo mismo con la otra lista y el resultado lo agregan a la lista y asi ya tenemos una lista de proxies anonimos fresca para utilizar en un ataque por brute force. Les dejo el listado de foros de donde extraer proxies, les recomiendo postear en cada uno de ellos la lista de proxys anonimos que obtengan, asi luego de un tiempo posteando pueden acceder a la zona vip de los foros donde se ponen listas mas largas y mejores. Spoiler ¡Debes iniciar sesión para ver el Spoiler! luego vamos a atacar....... ire actualizando en este mismo post hasta terminar. Este lunes 13 o el martes continuo... Cualquier duda intentare responderla y si quieren un programa especifico veremos que hacemos.
wena wena compare siga no mas yo usaba el C force pero me arrojaba pura basura no mas ahora voy a hacerlo asi
muy buen tutorial...!!! creo que lo basico lo se.. pero estoy necesitando saber como entrar en strongbox y el uso de exploits. Ultimamente las paginas que veo son casi todo strongbox. Mas tutos como este bienvenidos
