Underc0de

Hola a todos! :P
He estado probando Hydra, medusa, fireforce para hacer fuerza bruta, pero no me gustan, quería saber si alguien sabe un programa  script en perl,python para hacer un ataque de fuerza bruta.
Todo con fines éticos XD
Si alguien sabe alguno que deje el nombre en los comentarios o el link :P

Saludos Wizard

¿Fuerza bruta contra qué? Panel web, hash, archivo capturado al tratar de obtener clave WPA...

Para cualquier cosa web: Hydra
Hash: oclHashcat
Claves WiFi: JTR

PD: lo de fines éticos suena como lo de "no es por mí, es por ti", igual de creíble.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
¿Fuerza bruta contra qué? Panel web, hash, archivo capturado al tratar de obtener clave WPA...

Para cualquier cosa web: Hydra
Hash: oclHashcat
Claves WiFi: JTR

PD: lo de fines éticos suena como lo de "no es por mí, es por ti", igual de creíble.

Fuerza bruta contra web o POST como lo quieras llamar, pero Hydra, medusa no me gustan, no aprovechan todo el rendimiento de mi pc y aparte me dan una password que no es la autentica, aún probando con mi propia cuenta o en mi localhost me dan una password falsa o me las dan todas por correctas..

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
¿Fuerza bruta contra qué? Panel web, hash, archivo capturado al tratar de obtener clave WPA...

Para cualquier cosa web: Hydra
Hash: oclHashcat
Claves WiFi: JTR

PD: lo de fines éticos suena como lo de "no es por mí, es por ti", igual de creíble.

Fuerza bruta contra web o POST como lo quieras llamar, pero Hydra, medusa no me gustan, no aprovechan todo el rendimiento de mi pc y aparte me dan una password que no es la autentica, aún probando con mi propia cuenta o en mi localhost me dan una password falsa o me las dan todas por correctas..

Hydra funciona perfectamente para ello, otra cosa es que tú lo estés utilizando mal.

POST es un método por el que hacer peticiones a una web, no tiene nada que ver, has mezclado metros por segundo con patatas cocidas.

Si quieres aprender a usarlo usa el buscador del foro o lee esta entrada de 1GbDeInfo ---> http://www.1gbdeinformacion.com/2015/04/hacking-desde-0-hoy-bruteforce-con-hydra.html

Saludos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
¿Fuerza bruta contra qué? Panel web, hash, archivo capturado al tratar de obtener clave WPA...

Para cualquier cosa web: Hydra
Hash: oclHashcat
Claves WiFi: JTR

PD: lo de fines éticos suena como lo de "no es por mí, es por ti", igual de creíble.

Se usar hydra y he visto videos y te digo que lo hago bien xD

Fuerza bruta contra web o POST como lo quieras llamar, pero Hydra, medusa no me gustan, no aprovechan todo el rendimiento de mi pc y aparte me dan una password que no es la autentica, aún probando con mi propia cuenta o en mi localhost me dan una password falsa o me las dan todas por correctas..

Hydra funciona perfectamente para ello, otra cosa es que tú lo estés utilizando mal.

POST es un método por el que hacer peticiones a una web, no tiene nada que ver, has mezclado metros por segundo con patatas cocidas.

Si quieres aprender a usarlo usa el buscador del foro o lee esta entrada de 1GbDeInfo ---> http://www.1gbdeinformacion.com/2015/04/hacking-desde-0-hoy-bruteforce-con-hydra.html

Saludos.

Se usar hydra y he visto videos y te digo que lo hago bien xD

¿Entonces cuál es el problema? Si Hydra funciona (porque lo hace, si no lo hiciera habría sido noticia ya que es una herramienta muy usada), estás probando en local y no es por HTTPS solo hay dos opciones:

• Estás usando mal la herramienta (o el diccionario que usas está mal creado)
• Tu código (el que tienes en el server local) no va, ya sea el login o el código en general

Si proporcionases más detalles (comando completo que usas con Hydra, diccionario que utilizas, el código que has creado en local) podría ayudarte mejor.

Justo como dice Jimeno, Medusa al igual que hydra son herramientas muy usadas y de muy buenos resultados, eso de que te da resultados extraños no es cosa de la herramienta, revisa dependencias a ver si te faltan, reinstala, prueba con otros diccionarios, genera un diccionario propio usando crunch

Tambien podrias copiarnos el codigo de como lanzas a medusa e hydra.

Saludos.

Mira, en xHydra-gtk y hydra aún estando la password dentro la pasa de largo.
(http://i.imgur.com/EkDsMns.png)
Yo pensaba que como lo tenía en una maquina virtual lo pasaba de largo, pero instale kali linux en un sistema dual y me seguía pasando.
Con medusa introduciendo este codigo me pone que la primera password que hay en el diccionario es la correcta, siempre.
(http://i.imgur.com/AHGOYPM.png)

También he probado con bruter, ncrack, patator y ninguno me sirve.. Aver si alguien sabe ayudarme jaja

Gracias :P

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mira, en xHydra-gtk y hydra aún estando la password dentro la pasa de largo.
(http://i.imgur.com/EkDsMns.png)
Yo pensaba que como lo tenía en una maquina virtual lo pasaba de largo, pero instale kali linux en un sistema dual y me seguía pasando.
Con medusa introduciendo este codigo me pone que la primera password que hay en el diccionario es la correcta, siempre.
(http://i.imgur.com/AHGOYPM.png)

También he probado con bruter, ncrack, patator y ninguno me sirve.. Aver si alguien sabe ayudarme jaja

Gracias :P

¿Se te ha ocurrido pensar que no hay ningún formulario en la página? Si no pasas ningún path se va directo a index.html o index.php, lo que exista.
Si vamos a la dirección que has pasado encontramos esto, es decir, NO HAY FORMULARIO EN EL QUE LOGUEARSE:
(http://i.imgur.com/VOCducE.png)

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Mira, en xHydra-gtk y hydra aún estando la password dentro la pasa de largo.
(http://i.imgur.com/EkDsMns.png)
Yo pensaba que como lo tenía en una maquina virtual lo pasaba de largo, pero instale kali linux en un sistema dual y me seguía pasando.
Con medusa introduciendo este codigo me pone que la primera password que hay en el diccionario es la correcta, siempre.
(http://i.imgur.com/AHGOYPM.png)

También he probado con bruter, ncrack, patator y ninguno me sirve.. Aver si alguien sabe ayudarme jaja

Gracias :P

¿Se te ha ocurrido pensar que no hay ningún formulario en la página? Si no pasas ningún path se va directo a index.html o index.php, lo que exista.
Si vamos a la dirección que has pasado encontramos esto, es decir, NO HAY FORMULARIO EN EL QUE LOGUEARSE:
(http://i.imgur.com/VOCducE.png)

La página es esta: http://www.metin2panamera.com/ su ip es esta: 46.105.202.195 entonces en hydra que tengo que poner la página? Tenía entendido que tenía que poner la ip.

Menos mal que habías visto vídeos y leído el manual, ¿eh?
Menos mal que era con fines éticos, ¿eh?

Aquí tienes una de las guías más famosas: http://insidetrust.blogspot.com.es/2011/08/using-hydra-to-dictionary-attack-web.html

¡ÚSALA!

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Menos mal que habías visto vídeos y leído el manual, ¿eh?
Menos mal que era con fines éticos, ¿eh?

Aquí tienes una de las guías más famosas: http://insidetrust.blogspot.com.es/2011/08/using-hydra-to-dictionary-attack-web.html

¡ÚSALA!

Lo de videos y manuales si, que los entendiera es otra cosa..
Lo de fines éticos era ironía, ya que había visto varios post que querían hacer ataques de fuerza bruta y nadie le ayudaba porque no era ético :P

Con ip o url sigue igual..
(http://i.imgur.com/EtfEubB.png)

Voy a leer eso, aver si me sirve de ayuda, gracias :D

A ver, no seas así, tío...
Cuando te conectas a una web se hace una petición: IP/loginscript.php?username=TUPUTOUSUARIO&password=TUPUTOPASSWORD&Submit=Submit (es un ejemplo, suele variar y suele ser por POST)
ESO ES LO QUE TIENES QUE ATACAR, NO EL INDEX.


En el caso de tu web la petición es así, no te voy a dar la línea de comandos que has de usar porque no es con fines éticos, pero esto te da todo hecho:

(http://i.imgur.com/ppVyLG8.png)

La linea de comandos es esta:

hydra -l wizardsec -P /root/Desktop/Dicc/password.txt 46.105.202.195 http-get-form "/index.php?s=login:userid=^USER^&userpass=^PASS^&submit=submit" -V -t 1

Problema...

Despues del submit va un : donde hay que poner el error que da la web si el usuario o password es incorrecto, ya que esta web no muestra ningun error alguien sabe la solución? :$

@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414) no entendí bien la parte del : despues del submit.. Podrías poner captura o algo?

Saludos!
ANTRAX

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414) no entendí bien la parte del : despues del submit.. Podrías poner captura o algo?

Saludos!
ANTRAX

Cojí de un post la linea de comandos y puse todo igual que en el post remplazando por mis datos y alfinal en el submit: había que poner el error que salía en la página, pero probé en otra página el error y me sigue saliendo que la primera password que tengo en el diccionario es la correcta, no se que estoy haciendo mal pero con todos los programas me sale que la password siempre es la correcta D:

Dejo por aquí mi skype por si alguien quiere ayudarme aparte..
danymartinez77

Gracias! :D

http://arthusu.blogspot.mx/2015/01/concepto-ataque-por-fuerza-bruta.html

alo mejor te sirve de algo pense que lo habia posteado en underc0de e.e, saludos!

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
http://arthusu.blogspot.mx/2015/01/concepto-ataque-por-fuerza-bruta.html

alo mejor te sirve de algo pense que lo habia posteado en underc0de e.e, saludos!

Ya lo he usado, va demasiado lento..

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
http://arthusu.blogspot.mx/2015/01/concepto-ataque-por-fuerza-bruta.html

alo mejor te sirve de algo pense que lo habia posteado en underc0de e.e, saludos!

Ya lo he usado, va demasiado lento..

@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414) todo lo quieres...

Es fuerza bruta obviamente va a tardar, pero lo más rápido sería que usases medusa o hydra, como ya te explicaron arriba..

Saludos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
http://arthusu.blogspot.mx/2015/01/concepto-ataque-por-fuerza-bruta.html

alo mejor te sirve de algo pense que lo habia posteado en underc0de e.e, saludos!

Ya lo he usado, va demasiado lento..

@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414) todo lo quieres...

Es fuerza bruta obviamente va a tardar, pero lo más rápido sería que usases medusa o hydra, como ya te explicaron arriba..

Saludos.

Si ya he probado con medusa y hydra, pero no tengo ni idea de porqué no me funciona, nose si es mi proveedor o que pasa pero no me funcionan bien, me dan cualquier contraseña como correcta, he mirado los videos de youtube de redtu.. (es broma) de todos lados y no me funciona, también he probado yo solito como un campeon y nada..
Y los que encuentro que me funcionan van lentos :$
@blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) no pido que no tarden, pero que vayan algo ligeros..
Porque si van rapidos y le meto un diccionario de 15 GB no pasa nada
Pero si va lento y encima le meto un diccionario de 15GB no acaba nunca..

@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414)

Te has parado a pensar de que si va lento puede ser por la velocidad del hosting y tu conexión a internet?

De todas formas, con hydra y medusa debería irte bien, seguro que pones el comando de forma errónea.

Saludos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
http://arthusu.blogspot.mx/2015/01/concepto-ataque-por-fuerza-bruta.html

alo mejor te sirve de algo pense que lo habia posteado en underc0de e.e, saludos!

Ya lo he usado, va demasiado lento..

@wizardsec (https://underc0de.org/foro/index.php?action=profile;u=42414) todo lo quieres...

Es fuerza bruta obviamente va a tardar, pero lo más rápido sería que usases medusa o hydra, como ya te explicaron arriba..

Saludos.

Si ya he probado con medusa y hydra, pero no tengo ni idea de porqué no me funciona, nose si es mi proveedor o que pasa pero no me funcionan bien, me dan cualquier contraseña como correcta, he mirado los videos de youtube de redtu.. (es broma) de todos lados y no me funciona, también he probado yo solito como un campeon y nada..
Y los que encuentro que me funcionan van lentos :$
@blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) no pido que no tarden, pero que vayan algo ligeros..
Porque si van rapidos y le meto un diccionario de 15 GB no pasa nada
Pero si va lento y encima le meto un diccionario de 15GB no acaba nunca..

Un diccionario de 15GB, una pregunta, que velocidad de internet tienes? Ten en cuenta que eso es muy importante y tienes que tener mucha velocidad como para meter un diccionario asi, otra cosa es que te suelte la primera contraseña del diccionario, o bien estas poniendo algo que te sale cuando falla y te pide algo que te salga cuando acierta, o bien estas poniendo algo que sale en ambas y te pide algo que salga cuando aciertas (creo que me he liado xD)

Burp Intruder en la versión Free no es una opción, limita a una única petición por segundo.
Sin embargo Hydra y Medusa no deberían dar problemas como ya dije.

mm sinceramente lo dudo, mi conexion: IMAGEN ELIMINADA POR SEGURIDAD

Y de mi hardware también..
i7 4790k
Gtx 980 2GB
32GB 2100Mhz

Y no me equivoco en ningún comando, he probado tantos diferentes que ya no encuentro ninguna combinación diferente, si alguien se atreve a probar por teamviewer aver si le funciona.. xD

Ya te dimos las guías para el bruteforce y te explicamos por qué no funcionaba. Solo queda que construyas el comando para que haga la request que necesitas.
PD: elimina la imagen, estás facilitando tu IP a cualquier visitante del foro.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Ya te dimos las guías para el bruteforce y te explicamos por qué no funcionaba. Solo queda que construyas el comando para que haga la request que necesitas.
PD: elimina la imagen, estás facilitando tu IP a cualquier visitante del foro.

Imagen eliminada, gracias por avisar @Jimeno (https://underc0de.org/foro/index.php?action=profile;u=9827).

Tengo IP dinámica así que me daba igual pero bueno, gracias igualmente.

Como es el comando que estas usando? medusa anda

Te paso un par de los que he usado...

hydra -l wizardsec -P /root/Desktop/Dicc/password.txt 46.105.202.195 http-get-form "/index.php?s=login:userid=^USER^&userpass=^PASS^&submit=submit:Contraseña incorrecta" -V -t 1

hydra 192.168.1.2 http-form-post "/dvwa/login.php:username=^USER^&password=^PASS^&Login=login:Login failed" -L users.txt -P pass.txt -t 10 -w 30 -o hydra-http-post-attack.txt

hydra smtp.gmail.com smtp -l [email protected] -P wordlist -s 465 -S -v -V

Y he usado como 15 comandos más diferentes y ninguno funciona.. Y con medusa igual..

Login=login:Login failed

eso parece estar mal

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Login=login:Login failed

eso parece estar mal

:o

Llegué a la parte de hacking ético y luego de que la página era de un juego y ya las cosas se complican.

No vengas con que sabes usar Hydra y que esta no funciona, el creador de hydra debe estar revolcándose en su cama por tu forma de usar la herramienta y para jueguitos, mejor compras barbies y ya está el hacking es un estilo de vida, una forma de ver las cosas, no para juankear a tu amigo que tiene más level que tú en un juego, ya te acordarás de que perdiste horas de tu vida en una basura de juego  ;D (juegos en general).