да, это если детект брута плюс блок там в принципе есть вообще.
дофига систем которые на брут внимания не обращают, да вот до сих пор таких полно (сам видел), чудеса но... реальность!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Пишем распределенную высоконагруженную систему брутфорса корпоративных VPN.
- Автор темы Snow
- Дата начала
дофига систем которые на брут внимания не обращают, да вот до сих пор таких полно (сам видел), чудеса но... реальность!
Мы массканом сканим, пока правда порты не все покрыли) Снег вроде в него вкорячивал ssl-hello или чет такое, давно былоо! спасибо за идею!
да, это прям жизА!
во многих туториалах это кстати ещё и распространённое заблуждение - начинающим говорят: ищешь сабдомены subfinder -> потом dnsx -> потом по ним же httpx -> и вот тебе поверхность атаки!
а то что зачастую сервисы web'ные (и не только) торчат на нестандартных портах (да вон даже cPanel WHM - она не на 80 и не не 443 даже by default) - про это как-то умалчивается в туториалах
и вот так (httpx по дефолту же 80 и 443) и теряется порой огромный кусок "поверхности атаки" - это факт!
banananamas , а вы прям 1-65535 всё по хосту сканите типа быстрого SYN , а потом по реально откликнувшимся уже banner grabbing 2-м заходом?
(я обычно так, nmap его нельзя сразу - он тормоз, поэтому сначала masscan и затем по найденым портам уже banner grabbing и прочие детекты)
и ещё вы "хттпс" (цитирую) детектите всмысле TLS факт или прям TLS+SNI в котором ну что HTTP там будет скорее всего а не что-то другое? как именно и чем детектите "хттпс" ?
Но потом чекером смотрим все равно, через гет запросыЧаще всего лочат для конкретного ипа, но использование нормальных прокси это обходит
Пора бы ему уже лычки эксперта выдать чтобы продолжения были =)
- Автор темы
- Добавить закладку
- #24
вкорячивал, было дело.
Там, по сути, ничего сложного. Единственное пришлось прилично так посидеть в исходниках маасскана, чтобы понять его логику. Она, кстати, там очень грамотно построена. Но мемори лик в самом масскане я таки нашел и починил. Вообще это тема для отдельной статьи - интеграция масскана и дампера - того самого, который в подписи - было весело. banananamas хорошо - он только на его любимой жабе (Java) писал. А мне периодически приходится переключаться с чистого Си на жабу или, прости господи, петухон ... Разминка для мозга, конечно, но я с каждым днем всё больше ненавижу ваш Пайтон ... Только за одно отсутствие строгой типизации. Дальше не буду. Кто был в подобной ситуации - меня поймет.
Как с тобой связаться насчет покупки продукта ? Профиль закрыт ..
- Автор темы
- Добавить закладку
- #26
- Автор темы
- Добавить закладку
- #27
Если, вдруг, кто-то решит, что такая корова нужна ему тоже - не стесняемся, пишем в личку, либо сразу в токс. По цене обсудим.
Пока еще надои позволяют прокормить корову и даже хозяину остается.
Пока еще надои позволяют прокормить корову и даже хозяину остается.
Последнее редактирование:
Я себе реализовал работу через воркеров
Сервер и воркер
На сервере панель, а воркеров можно на разные дедики ставить и в зависимости от мощности дедика ставить потоки уже в панели
То бишь есть 10 серваков на них по 1-2 воркеров по 200-300 потоков
Всех их полкоючаешь к серверу в панели, и запускаешь Брут
На каждого воркеров распределение идёт по строкам и всё круто) то что на одном воркере показывало "до окончания 6лет 9 месяцев и 4 дня" по нужном количестве воркеров показывает 2-3 суток
Всё выполнено на java
Как считаешь норм или нет? У тебя опыта капец как много
- Автор темы
- Добавить закладку
- #29
ну я тут тебе ничего не скажу- я же даже представления не имею о твоих алгоритмах. Без контекста сложно сказать. Может ты на нуль поделил где-то
Позже закину тебе его если не трудно потестируйну я тут тебе ничего не скажу- я же даже представления не имею о твоих алгоритмах. Без контекста сложно сказать. Может ты на нуль поделил где-то