HTTP Bruteforce

Categorias: , , ,

Descrição

BruteforceHTTP

Uma ferramenta de força bruta automatizada

Sobre este projeto

Uma ferramenta de força bruta HTTP baseia-se no navegador Mechanize.

Instalação

Requisitos

nome
python2
python2-pip
python-regex
sudo apt install python python-regex git
git clone https://github.com/dmknght/BruteforceHTTP.git

Opções

Usage: main.py [options] <url>

Opções:

-u <word_list> : Add word list for username field -p <word_list> : Add word list for password field -U <username>: user1:user2:user3

Uso

Use a lista de usuários padrão e passlit:

python main.py <Target URL>

Use a senha padrão para o usuário admin (para vários nomes de usuário, use user1:user2:user3 ):

python main.py -U admin <Target URL>

Use uma lista de usuários personalizada e uma senha personalizada:

python main.py -u <path to userlist> -p <path to passlist> <Target URL>

Como esta ferramenta funciona

Esta ferramenta irá detectar campo de formulário automaticamente, coletar informações e enviar dados para que ele possa manipular o token CSRF.

  • Atualização 1/1/2019: escolha automática de autenticação HTTP Get e modo de formulário HTTP POST

Problemas:

  • Detectar erro de campo de formulário para alguns casos especiais. Vamos tentar melhorar nossa função.
  • Correspondência de senha incorreta: a condição de correspondência não está concluída.

Melhoria adicional (Veja TODO.md)

Limitação

  • Site de Javascript (problema da biblioteca mecanizada)
  • Faça o login com captcha (Por favor, leia WEBNOTE.md para casos de teste)

Por que isso / aquilo (FAQ)

  • P: O que é essa ferramenta?
  • R: Esta ferramenta é uma ferramenta de ataque de força bruta, baseada no projeto de navegador mecanizar. Isso significa que essa ferramenta pode enviar solicitações de login simuladamente.
  • Q: Por que não python3?
  • R: Atualmente, o mechanize suporta apenas o python2. E porque python3 tem algumas sintaxes diferentes, então este projeto não suporta python3 agora
  • Q: O que pode fazer
  • R: Esta ferramenta é destinada a executar um ataque de força bruta automaticamente a todos os sites com opções fáceis.
  • P: Por que não outras ferramentas?
  • R: Existem outras ferramentas que podem fazer força bruta http. Mas…
    • Quase scripts são estáticos. Eles podem atacar 1 ou apenas um site (com base no nome do formulário)
    • Hydra pode fazer login http. Mas tem opções complexas, não pode fazer login com token CSRF (e você tem que dar nome aos campos de envio manualmente)
    • Burp suite: não pode fazer o formulário CSRF por padrão, não mostra o relatório legível, etapas complexas e a versão gratuita não é muito rápida.
  • P: Esta ferramenta é destinada a força bruta de todo o site, porque não pode fazer este site:
  • R: Existem problemas conhecidos:
    • Sites Javascript: mecanizar não pode fazer nada com javascript. Executar javascript traz problemas de segurança para o lado do cliente, bem assim, … é impossível agora.
    • Gmail, Yahoo: 2 sites usam 2 vezes de envio. Eu estou tentando combinar este caso com o projeto
    • Existem algumas páginas de login com sintaxe errada de html. Eu estou trabalhando com o mechanize para consertar
    • Captcha: Isso não é fácil. Mas estou tentando o meu melhor.
  • P: Que tal evitar técnicas?
  • R: Eu também estou tentando combinar o desvio de login de injeção SQL. Seja paciente!
  • P: Por que essa ferramenta mostra um resultado incorreto (várias senhas para um nome de usuário)?
  • A: Existem dois casos conhecidos:
    • O servidor da Web mostra mensagem de bloqueio com 200 HTTP Response (ou mensagem de erro em alguns casos). Eu sou incapaz de analisar isso exatamente agora.
    • Eu encontrei o problema “Ignorar autenticação” em algum CCTV. Eu acho que é uma vulnerabilidade de “condição de corrida”.
  • Q: Você mencionou a CCTV. Então, essa ferramenta pode atacar a autenticação HTTP GET?
  • A: Sim, pode. Ele irá escolher o ataque HTTP GET / HTTP POST FORM automaticamente
  • Q: Como sobre a lista de palavras? Senha segura?
  • R: Essa ferramenta traz algumas listas de palavras padrão. Você também pode usar sua lista de palavras personalizada. Mas por causa de um arquivo enorme, há um problema de gerenciamento de memória que não posso consertar agora. Eu estou tentando com a geração de senha de palavras-chave também.
  • P: Parece que essa ferramenta é lixo
  • A: Na verdade não Eu fiz alguns ataques bem sucedidos do mundo real com essa ferramenta e posso dizer que ela merece tentar. Claro que você pode fazer isso com outras ferramentas ou com o seu próprio script. Mas como eu disse, minha ferramenta é fácil de usar e economizará seu tempo.
  • P: Por que você faz isso tão devagar?
  • R: Eu tenho que fazer quase tudo: teste, depuração, análise, pesquisa, … @ ZeroX-DG está fazendo o seu projeto, então eu tenho que fazer isso sozinho. Eu não sou um bom desenvolvedor é outro motivo. Na verdade eu nem sou um desenvolvedor.
  • P: Posso personalizar sua ferramenta?
  • R: Sim, você é bem-vindo. Mas se você encontrar algo bom, por favor me dê um pedido de puxar. Isso vai me ajudar (e outros;)) muito.

Autor

Informação adicional

  • Esta ferramenta foi criada no Parrot Security OS 3.11, python 2.7.15rc1.
  • Totalmente testado no Parrot Security OS 4.4 e no Debian 10.
  • A plataforma do Windows não é suportada

Crédito

Agradecimento especial a todos os autores destes projetos: