• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по бруту цисок

Отслеживать
sect adept

sect adept

(L3) cache
Пользователь
Регистрация
19.02.2022
Сообщения
280
Решения
3
Реакции
73
Всем привет. Имеется самописный брут цисок (/+CSCOE+/logon.html). В нем уверен на 90%. Тестовые учетки брутились на отлично + несколько боевых.
Вопрос в том, что последнее время много таймаутов приходит. Имеется ли у циски по дефолту защита от брута: количество неверных кредов, блокиурется ли учетка на какое-то время по дефолту?
Бручу через тор, айпишники меняются, так что бан по айпи отпадает
Плюс вопрос по пассам, проходился всеми возможными списками - сбрутилось пару таргетов из всех списков пассов. Неужели из 1к таргетов нет ни одного таргета с пассом P@ssw0rd например? Где пароль=логину больше гудов, но по большому счету это мусор чаще всего. Какой совет еще можно получить какие пассы брать или у большинства таргетов на учетках внутрикорпоративные пароли? В логинах уверен на 100%, бручу только существующие логины, которые есть в циске
 
Сортировать по дате Сортировать по голосам
По умолчанию там лок на 20 мин по IP. Тор может IP не менять так часто как хочется, да и лок может быть вообще админом настроен для тора. Лучше прокси-листы использовать динамические. У цисок еще домены есть, + нужна правильная обработка куксов + отсев ханипотов сразу (их там много).
 
За 0 Против
sect adept сказал(а):
Всем привет. Имеется самописный брут цисок (/+CSCOE+/logon.html). В нем уверен на 90%. Тестовые учетки брутились на отлично + несколько боевых.
Вопрос в том, что последнее время много таймаутов приходит. Имеется ли у циски по дефолту защита от брута: количество неверных кредов, блокиурется ли учетка на какое-то время по дефолту?
Бручу через тор, айпишники меняются, так что бан по айпи отпадает
Плюс вопрос по пассам, проходился всеми возможными списками - сбрутилось пару таргетов из всех списков пассов. Неужели из 1к таргетов нет ни одного таргета с пассом P@ssw0rd например? Где пароль=логину больше гудов, но по большому счету это мусор чаще всего. Какой совет еще можно получить какие пассы брать или у большинства таргетов на учетках внутрикорпоративные пароли? В логинах уверен на 100%, бручу только существующие логины, которые есть в циске
Стоит еще учесть, что ты даже не 10-й и не 50-й, кто брутит циску, по этому очевидно, что как и в случае с rdp/cms дефолтными - мы имеем ситуацию, когда словарь решает 99%. Листы то у всех одни =)
 
За 0 Против
LongNight сказал(а):
Стоит еще учесть, что ты даже не 10-й и не 50-й, кто брутит циску, по этому очевидно, что как и в случае с rdp/cms дефолтными - мы имеем ситуацию, когда словарь решает 99%. Листы то у всех одни =)
Я понимаю это, что я не единственный. Главный вопрос как обходить блокировки и ханипоты?
 
За 0 Против
Brejnev сказал(а):
По умолчанию там лок на 20 мин по IP. Тор может IP не менять так часто как хочется, да и лок может быть вообще админом настроен для тора. Лучше прокси-листы использовать динамические. У цисок еще домены есть, + нужна правильная обработка куксов + отсев ханипотов сразу (их там много).
Какие домены? Кукисы отлично обрабатываются. Ханипоты как отсеивать?
 
За 0 Против
LongNight сказал(а):
Стоит еще учесть, что ты даже не 10-й и не 50-й, кто брутит циску, по этому очевидно, что как и в случае с rdp/cms дефолтными - мы имеем ситуацию, когда словарь решает 99%. Листы то у всех одни =)
Ну я еще пароли мутирую из логинов. Такое имеется смысл делать вообще?
 
За 0 Против
sect adept сказал(а):
Ну я еще пароли мутирую из логинов. Такое имеется смысл делать вообще?
Выкачивай фри логи и смотри сам, я пытался тренить ллм на этом, с попеременным успехом
 
За 0 Против
LongNight сказал(а):
Выкачивай фри логи и смотри сам, я пытался тренить ллм на этом, с попеременным успехом
С мутацией проблем нет, но и с ней как-то глухо... хз хз. А как ханики отличать от нормальный цисок?
 
За 0 Против
sect adept сказал(а):
С мутацией проблем нет, но и с ней как-то глухо... хз хз. А как ханики отличать от нормальный цисок?
Меня тоже интересует вопрос детекта ханипотов. Понятно, что все ханипоты одним методом не отсеять — если бы это было возможно, то детекторы ханипотов в веб-сканерах работали бы идеально, но, к сожалению, реальная картина совсем другая.

Условно я делю ханипоты на три категории:

Самые банальные - те, где открыто огромное количество портов, причем часто используются характерные порты на одном хосте (например: 1, 100, 10000, 10001 и так далее).

1746186183641.png


Ханипоты, которые возвращают полностью идентичный код веб-страницы реального хоста, но при переходе по ссылкам и загрузке страницы не подтягиваются стили (CSS, JS). Для выявления таких ханипотов требуется более детальный анализ, так как в веб-сканерах они выглядят как обычные хосты.

1746187658654.png


Ханипоты, которые сложно отличить от реальных хостов. Для их обнаружения предложено множество методов, среди которых есть как рабочие, так и сомнительные:
1. Проверяка задержки (латентности) ответа ханипота.
2. Фильтр по клауду (честно говоря, не уверен, насколько этот метод корректен).
3. Анализ ответов на нестандартные запросы.
...
И другие.

1746187842158.png

И еще проверка скриптами и сервисами:
https://github.com/honeynet/checkpot - коммиты 7 лет назад, у меня он не работал нормально.
Сервис от шодана https://honeyscore.shodan.io/ - вообще загнулся, настолько я понял, на все запросы отвечает, что нет такого айпи в базе.

Может, я что-то еще забыл, упустил или не знаю, но было бы интересно почитать, что известно коллегам.
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх