|
Title: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 06, 2019, 06:06:20 PM Buen día colegas, Hoy les platicare un poco sobre los ataques de fuerza bruta...
Internet trata de ser un lugar seguro, es por esto que han aparecido tecnologías como HTTPS y sistemas de Captcha. Pero aun así es posible hacer ataques de fuerza bruta con herramientas como JTR o iMacros. No les voy a enseñar como usar esas herramientas por que hay infinidad de información sobre el tema en internet, simplemente les voy a dar 4 pistas y el primero que encuentre la contraseña se llevara el premio. Sitio: https://www.999dice.com/ Usuario: Latino Clave: latino*** ***: 3 Numeros Buena suerte y espero que se diviertan. Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 06, 2019, 11:53:19 PM ::) ¿Nuevo giveaway?
https://img.buzzfeed.com/buzzfeed-static/static/2016-03/16/18/enhanced/webdr07/original-7224-1458166152-4.jpg Felicidades por la iniciativa seoincorporation. El resultado tras montar un bucle para ir probando contraseñas en la sección de acceso: Code: You are performing that action too frequently. Please slow down. https://media.giphy.com/media/RQzp18aQ1lw8E/giphy.gif Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 07, 2019, 12:13:13 AM ::) ¿Nuevo giveaway? https://img.buzzfeed.com/buzzfeed-static/static/2016-03/16/18/enhanced/webdr07/original-7224-1458166152-4.jpg Felicidades por la iniciativa seoincorporation. El resultado tras montar un bucle para ir probando contraseñas en la sección de acceso: Code: You are performing that action too frequently. Please slow down. https://media.giphy.com/media/RQzp18aQ1lw8E/giphy.gif Nadie dijo que sería fácil. Acabo de revisar y efectivamente, después de el quinto mensaje el sitio nos pide que bajemos el ritmo a lo cual hay dos soluciones, un temporizador o cargar un nuevo proxy... Como pista les diré que iMacros + TOR debería de ser suficiente para resolver lo en 1 hora. Son 999 posibles soluciones, para un ataque de fuerza bruta esto es pan comido. PD: El premio inicial eran 250Doge pero le acabo de depositar un poco mas de motivación. https://www.blockchain.com/btc/tx/9805f3860c313121389ade9e80ef08a4a64cc676573cb02484b02865eb20fc73 Buena suerte! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 07, 2019, 12:30:51 AM -snip- Nadie dijo que sería fácil. -snip- Claro, ahí está la gracia :D Lanzo otras pistas. No lo he hecho con iMacros y el fallo ha saltado tanto al ejecutar las 999 de golpe como al ir probando cada 3 segundos. En cuanto llevas unas 10 pruebas salta. Al menos en mi caso. ¡A ver si alguien más lo intenta! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 07, 2019, 01:12:39 PM Me lo apunto para cuando llegue a casa. Ahora mismo todo pita como gambling o hacking ... ;D
Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 07, 2019, 06:45:54 PM He probado un rato con imacros. No entiendo muy bien como funciona, así que solo puedo deciros que no es latino000 :P
No me ha dado errores de reintentos, pero igual es porque no me carga bien el diccionario. Está complicado éste ... Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: azkielt on March 08, 2019, 01:01:35 AM Interesante desafio, el scrip para el IMacros no es tan dificil de realizar a pesar de las limitaciones de la version libre, el problema es que el sitio impide realizar varios intentos seguidos, el detalle seria (si fuera posible) automatizar el proceso para que cambio la ruta en Tor cada 5 intentos, cosa que al menos no esta a mi alcance. Una pregunta tambien la contraseña empieza por latino000 no es asi? o sea latino1 no seria una posible respuesta? pregunto porque esa fue la parte mas dificil de realizar en el scrip, los numeros del 0 al 100,
Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 08, 2019, 02:45:41 AM el scrip para el IMacros no es tan dificil de realizar... Al contrario, iMacros son los script mas fáciles de programar ya que tiene la función de grabar bajo ejecución. Por ejemplo, ahora acabo de grabar un inicio de sesión en el sitio, el código generado fue el siguiente: Code: VERSION BUILD=1005 RECORDER=CR Si despues de eso añadimos un: Code: WAIT SECONDS=2 No se, piénsenlo.... Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: azkielt on March 08, 2019, 04:16:14 AM me referia a que son faciles de hacer, seguire intentando con Tor y alguna alternativa para cambiar automaticamente el circuito de Tor ya que en el punto en que estoy el script funciona 100% pero tengo que cambiar manualmente, ademas de que mi velocidad de conexion no ayuda mucho
Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 08, 2019, 07:37:37 AM ... Mi script es parecido. Le he metido un acceso al diccionario de password: Code: SET !DATASOURCE c:\work\dic.csv Y después un bucle: Code: SET !LOOP 1 Pero me da la sensación de que no corre como debe. A la integración con TOR ni he llegado ... :'( Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 08, 2019, 10:41:17 AM Aquí tenéis otra opción que se puede ejecutar desde la consola del navegador. Cada 19 segundos asigna un nuevo valor al campo de la contraseña y pulsa el botón de inicio de sesión. No es la opción más limpia pero si no me he confundido sirve para hacer pruebas rápidas xD
Code: (function myLoop (i) { De 999 a 0 Cuando llega a 100 hay que tener en cuenta que la próxima contraseña que intentará es latino99 y no latino099 por lo que se tendrá que hacer algun ajuste para tratarlo Code: function pad(n, width, z) {pad (99, 3) devolverá 099. A partir de aquí podéis tratar con los datos a vuestro gusto. Información: https://stackoverflow.com/a/10073788 Uno de los fallos de este script es que sigue funcionando cuando el inicio de sesión falla por la alerta de múltiples intentos por lo que esa contraseña o las siguientes pueden no comprobarse bien. Lo dejo aquí porque quizá es un punto de partida para los demás que quieran intentarlo ;) Suerte Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: Zarg0n on March 08, 2019, 12:11:04 PM Muy interesante este giveaway , el tema de macros no entiendo nada pero manualmente hice algunos intentos por la zona de 970/990 pensando en que podria ser la terminacion de una fecha de nacimiento pero no anda por esa zona la solucion.
Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 08, 2019, 12:12:29 PM ... Me gusta tu método :) Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script? Saludos! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 08, 2019, 06:53:26 PM Me gusta tu método :) Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script? Saludos! ¡No te preocupes! La consola del navegador tiene la opción de mantener el log por lo que si el inicio de sesión es satisfactorio en principio la página se actualizará, el script se detendrá y tendrás registrada la última combinación que ha intentado gracias al console.log que deja constancia en la consola. No tengo claro si se actualiza la página por lo que puede que se inicie sesión y el script siga funcionando. Es irrelevante porque probablemente desaparezca el campo contraseña al haber iniciado sesión y la consola del navegador mostrará el siguiente mensaje al no encontrar el campo de la contraseña en el formulario. Code: TypeError: document.getElementById(...) is null[Learn More] La última contraseña antes de este mensaje debería ser la correcta. Tampoco es muy importante porque ya estarás dentro. Siempre se podria añadir un if/else que controle si existe ese campo o no y si no existe directamente no siga. Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes ;D Ya la tendría que haber encontrado. Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 08, 2019, 07:04:41 PM Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes ;D Ya la tendría que haber encontrado. Me pasa igual. He completado un ciclo completo y nada ... :'( He ampliado tu loop a 25 segundos, y aún así salen warnings. @seoincorporation, solo por confirmar. El usuario es con L máyuscula, no? Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 08, 2019, 08:12:38 PM He creado una cuenta y he intentado iniciar sesión utilizando partes del script. Una vez se introducen los datos correctos la página vuelve a cargar con el típico mensaje de Navigated to https://www.999dice.com/ en la consola.
El script se detiene y puedes tomar como referencia las últimas contraseñas que ha intentado si guardas el log. Solución rápida y cambios para comprobar del 99 al 10 Code: var pass = "latino0" Code: })(99) Y del 9 al 0 Code: var pass = "latino00" Code: })(9) xd. https://media.giphy.com/media/o0vwzuFwCGAFO/giphy.gif Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 08, 2019, 08:41:34 PM ... Ésta me parece más fácil para los del 99 al 0: Code: final = pass + 0 + i He puesto 60 segundos al loop y ya no da guerra, pero va a tardar como 20 horas ... ??? Supongo que alguien lo adiviniará antes :D Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 08, 2019, 09:00:13 PM Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas:
***: 3 Números al ser 3 números entonces 'latino0' no es una opción. Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito. Actualización: He corregido la 'L' de mi ejemplo a 'l' para no generar confusión, la clave empieza con minúscula, actualizo en esta publicación en ves de hacer una nueva solo para evitar el spam ;) Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 08, 2019, 09:29:18 PM ... Ésta me parece más fácil para los del 99 al 0: -snip- Si pass = "latino" y la variable i puede ser 1, 2, 3, 4, 5, 6, 7, 8 o 9 con el código que mencionas final = latino01, latino02, latino03... La contraseña debe contener 3 números :) latino001, latino002, latino003... Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas: ***: 3 Números al ser 3 números entonces 'Latino0' no es una opción. Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito. ¿La contraseña empieza por Latino o latino? En el OP pone latino y ahora mencionas Latino ::) ;D El Latino0 que tú comentas no es una opción, pero si juntas latino0 con el número 80 que es lo que estamos intentando la variable final pasa a ser latino080 que sí cumple con los 3 números. En el var pass = latino0 o latino00 sólo asignamos ese valor a la variable pass que luego se une con la variable i. final = pass + i latino080 = latino0 + 80 latino079 latino078 ... latino001 = latino00 + 1 ... En el código de hace unas horas final = pass + i latino300 = latino + 300 latino299 latino298 ... Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 09, 2019, 07:08:27 AM Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave ::) Eso vale? jejejje https://i.ibb.co/4pjYqd5/Image-117.png (https://ibb.co/4pjYqd5) https://i.ibb.co/zhJB6Ck/Image-116.png (https://ibb.co/zhJB6Ck) Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 09, 2019, 11:58:00 AM En el primer mensaje de seoincorporation sólo dice que el primero que encuentre la contraseña se llevará el premio :)
Una vez dentro tienes acceso a todos los detalles por lo que puedes cambiar la contraseña y actuar tranquilamente. Yo recomendaría modificar la contraseña por cuestiones de privacidad evitando que se pueda consultar la dirección a la que has realizado el retiro. ¡Enhorabuena! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: Perejil on March 09, 2019, 01:18:50 PM Estoy dentro chavales!! Enhorabuena. Despues de un dia dandole con mi script y no encontrarla, me he hecho una cuenta, me intento loguear y mi script falla ::). Porque no probaría esto primero... ;D ;D ;DLo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave ::) Eso vale? jejejje Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 09, 2019, 03:31:43 PM Estoy dentro chavales!! Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave ::) Eso vale? jejejje https://i.ibb.co/4pjYqd5/Image-117.png (https://ibb.co/4pjYqd5) https://i.ibb.co/zhJB6Ck/Image-116.png (https://ibb.co/zhJB6Ck) Buen trabajo bbvedf!!! Pero te tengo una mala noticia, has olvidado retirar los 250 doge! ;D Así que el giveaway sigue en pie! Pista: El primer numero es 4. Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 09, 2019, 04:10:36 PM Estoy dentro chavales!! Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave ::) Eso vale? jejejje https://i.ibb.co/4pjYqd5/Image-117.png (https://ibb.co/4pjYqd5) https://i.ibb.co/zhJB6Ck/Image-116.png (https://ibb.co/zhJB6Ck) Buen trabajo bbvedf!!! Pero te tengo una mala noticia, has olvidado retirar los 250 doge! ;D Así que el giveaway sigue en pie! Pista: El primer numero es 4.5 Jjjjjjj Los mantengo hasta mañana por si queréis seguir probando :) Así hacemos un concurso para todos! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 10, 2019, 07:27:24 PM Los mantengo hasta mañana por si queréis seguir probando :) Así hacemos un concurso para todos! Retirados! Ya seguid probando si queréis, pero solo por amor al conocimiento ... ;D Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: franckuestein on March 11, 2019, 10:22:18 AM https://i.imgur.com/sUpua6W.gif
A ver si en próximos hilos de este tipo la gente se anima y podemos contrastar distintos métodos de acceso o técnicas de resolución. Aunque la recompensa no sea en forma de monedas :D ¡Un saludo y enhorabuena a todos los participantes! Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 11, 2019, 03:31:20 PM De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? ;D
Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 15, 2019, 06:51:26 AM De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? ;D Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox. IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... ::) Code: Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú. Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: seoincorporation on March 15, 2019, 01:51:36 PM De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? ;D Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox. IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... ::) Code: Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú. Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios :P Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas. Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...) Title: Re: Fuerza bruta en sitios web? - Giveaway Post by: bbvedf on March 15, 2019, 03:42:27 PM De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? ;D Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox. IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... ::) Code: Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú. Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios :P Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas. Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...) Ni siquiera uso Dropbox ... Al menos que recuerde! Supongo que alguna vez me registraría con una pass floja. Pero no deja de llamar la atención. Tengo admiradores iraníes ... |
