Вообщем хочу подробней изучить тему брутфорса по https сайтам, нигде не могу найти статью(видео) на эту тему. Интересен процесс брутфорса на социальные приложения по типу инстаграмма. Подскажите как что, какие тулсы используются или статью какую нибудь подкиньте.(Прошу не закидывать камнями, только учусь, заранее благодарю)
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Ну если без особых навыков программирования, то можно вникать в тулзы типа BAS. Ничего особого там не вытянешь, но тему брута/чека, на первичном уровне, как-то можно реализовать и пощупать.
Если планируешь изучать кодинг, попутно развивая эту тему, то можешь вбить в github - bruteforce и посмотреть на примеры проектов. Практически всё кривое, косое, но отправная точка будет. А там уже выбирай фильтр ЯП, который тебя интересует, ну и разбирай сорцы, попутно работая с документацией нужного языка.
Желательно еще научиться работать с каким-то mitm-прокси(burp/zap/...) для анализа ответов. Ибо на более сложных ресурсах будут свои заморочки с защитами, блокировками и прочим.
Если планируешь изучать кодинг, попутно развивая эту тему, то можешь вбить в github - bruteforce и посмотреть на примеры проектов. Практически всё кривое, косое, но отправная точка будет. А там уже выбирай фильтр ЯП, который тебя интересует, ну и разбирай сорцы, попутно работая с документацией нужного языка.
Желательно еще научиться работать с каким-то mitm-прокси(burp/zap/...) для анализа ответов. Ибо на более сложных ресурсах будут свои заморочки с защитами, блокировками и прочим.
По поводу брутфорса, пробуй Private Keeper.
Если такие гиганты, как инста, можешь снифать приложение и через приложение брутить.
Вариантов масса)
Если такие гиганты, как инста, можешь снифать приложение и через приложение брутить.
Вариантов масса)
for starters, learn about combos , email:pass / user:pass then get tools like openbullet / blackbullet and learn how to make configs for em aimed at your targets . then lunch, its credential stuffing tho and credential stuffing is a subset of bruteforce attack.
- Автор темы
- Добавить закладку
- #5
https://github.com/openbullet/openbullet
Попробуй с чего-то по проще инсты.
Посмотри видео где люди делают брутчекеры. Там очень просто. На простых сайтах. На инсте там капча, и прочее может быть. Сложнее. Пробуй на мобильное приложение с андроида сниффать запросы, там может быть проще защита. Лучше всего закажи под инсту проект у кодеров, чем самому это писать если цель это только один проект.
В тг можно наверное найти проекты открытые. По ним можешь понять что да как.
Попробуй с чего-то по проще инсты.
Посмотри видео где люди делают брутчекеры. Там очень просто. На простых сайтах. На инсте там капча, и прочее может быть. Сложнее. Пробуй на мобильное приложение с андроида сниффать запросы, там может быть проще защита. Лучше всего закажи под инсту проект у кодеров, чем самому это писать если цель это только один проект.
В тг можно наверное найти проекты открытые. По ним можешь понять что да как.
import requests
перехватываешь запросы при помощи веб-прокси или снифером трафика(аля вайршарк)
сморишь как приложение посылает запрос на авторизацию, что отвечает в случае успешной авторизации, что отвечает в случае не правильной авторизации, м.б. что-то отевечает интересное если такого пользователя вообще нет на сайте.
при помощи библиотеки requests пишешь запрос к приложению с данные авторизации, получаешь ответ и смотришь, авторизовался или нет.
Но это так вкратце
перехватываешь запросы при помощи веб-прокси или снифером трафика(аля вайршарк)
сморишь как приложение посылает запрос на авторизацию, что отвечает в случае успешной авторизации, что отвечает в случае не правильной авторизации, м.б. что-то отевечает интересное если такого пользователя вообще нет на сайте.
при помощи библиотеки requests пишешь запрос к приложению с данные авторизации, получаешь ответ и смотришь, авторизовался или нет.
Но это так вкратце
где найти етот тулс ?
проприетарный софт, будь осторожнее. используй опен буллет, но тоже осторожно.
киппер в гугле найдешь.
Private Keeper и Silver/OpenBullet - гайдов по написанию проектов достаточно даже на ютубе, не говоря уже о форумах.
Выше видел советовали BAS, но это как по мне тупо и медленно. Может для какого то кликкера, или для написания скрипта для смены кошельков где то и подойдет, но брутить на нем будет очень дискомфортно, как в плане скорости так и в плане ресурсо-затратности, он куда сильнее грузит систему.
Ну и стоит еще знать что Private Keeper платный - 250р за ключ в месяц, а Silver/OpenBullet бесплатные и в некоторых моментах даж удобнее, но большинство людей в снг сегменте использует кипер.
Ну и если уже хочешь вкатываться в эту тему, и решишь начинать с буллетов, то начинай сразу со второй версии, она уже относительно давно релизнута, она немного труднее в освоении будет, но в целом на него куда больше уже начинают переходить.
А если не хочешь учится всему этому, то можешь просто купить себе чекер и прокси, и найти базы, и просто отрабатывать материал.
Ну или можешь сидеть учить ЯП и уже писать софты с нуля, а не использовать конструкторы о которых писал выше. Туториалов на ютубе в избытке.
Выше видел советовали BAS, но это как по мне тупо и медленно. Может для какого то кликкера, или для написания скрипта для смены кошельков где то и подойдет, но брутить на нем будет очень дискомфортно, как в плане скорости так и в плане ресурсо-затратности, он куда сильнее грузит систему.
Ну и стоит еще знать что Private Keeper платный - 250р за ключ в месяц, а Silver/OpenBullet бесплатные и в некоторых моментах даж удобнее, но большинство людей в снг сегменте использует кипер.
Ну и если уже хочешь вкатываться в эту тему, и решишь начинать с буллетов, то начинай сразу со второй версии, она уже относительно давно релизнута, она немного труднее в освоении будет, но в целом на него куда больше уже начинают переходить.
А если не хочешь учится всему этому, то можешь просто купить себе чекер и прокси, и найти базы, и просто отрабатывать материал.
Ну или можешь сидеть учить ЯП и уже писать софты с нуля, а не использовать конструкторы о которых писал выше. Туториалов на ютубе в избытке.
Если я не ошибаюсь, то
ffuz (https://github.com/ffuf/ffuf) написан на Go
patator (https://github.com/lanjelot/patator) написан на Python
В инете легко найти статьи по бруту WEB от patator и ffuz.
А если пишешь что то серьезное, пиши код сам(Python и Go легче всего )
ffuz (https://github.com/ffuf/ffuf) написан на Go
patator (https://github.com/lanjelot/patator) написан на Python
В инете легко найти статьи по бруту WEB от patator и ffuz.
А если пишешь что то серьезное, пиши код сам(Python и Go легче всего )
Do you know where can I find credential stuffing bot? something customized for specific sites.
Private Keeper