Введение

Добро пожаловать, в этой статье я собираюсь показать вам, как я запрограммировал свой скрипт Python для проведения атак грубой силы на вход в Интернет с использованием метода post, я также покажу вам, как его использовать и некоторые из лучших функций программы (обход Блокировать IP, добавлять заголовки, добавлять данные…) Надеюсь, вам понравится!

Скрипт, который вы увидите в этой статье, доступен на моем Github по этой ссылке:



GitHub — S12cybersecurity/HTTP_POST-Login-BruteForce: HTTP_POST Вход в систему BruteForce
HTTP_POST Вход в систему BruteForce Установка git clone https://github.com/S12cybersecurity/HTTP_POST-Login-BruteForce pip3 …github.com



Функции

  • Найти пароль
  • Обход IP-блокировки
  • Подключиться через прокси
  • Добавьте заголовки и данные
  • Фильтровать по тексту ошибки Ответ

Найти пароль

Это будет основная часть статьи, здесь я собираюсь показать, как они работают, и несколько небольших фрагментов кода на случай, если кто-то захочет создать что-то подобное.

Прежде всего, как это работает?

Самая важная часть работы этого сценария — сравнение размера ответа сервера, когда мы отправляем ему неправильные учетные данные.

Здесь сценарий отправляет запрос с совершенно случайным именем пользователя и паролем, чтобы увидеть, как сеть реагирует на неверные учетные данные.

Код:

Первая веб-петиция:

Файл пользователя и файл пароля представляют поле пользователя и поле пароля… Извините.

Вторая веб-петиция и сравнение:

В этой части скрипт начинает циклически отправлять веб-запросы, меняя пароль для пользователя, которого вы решили атаковать, а затем сравнивает длину ответов первого запроса, на который мы использовали неправильные учетные данные, с новыми запросами, которые вы делаете. , при этом вы получите, что при ответе на 10 байт разных ответов (во избежание ложных срабатываний) скрипт сообщит вам, что нашел пароль.

Но в дополнение к этому у него есть некоторые детали, которые делают его очень гибким инструментом. Во-первых, это обход IP-блокировки через заголовки.

Обход IP-блокировки

Отлично, эта часть сильно отличается от подавляющего большинства известных на данный момент скриптов. В моем инструменте я добавил к каждому запросу серию заголовков, с помощью которых вы можете обойти блокировку ограничения скорости IP. Эти заголовки следующие:

  • X-Перенаправлено-Для
  • X-Исходный IP
  • X-Remote-IP
  • X-Remote-Аддр

Я не только добавил эти заголовки, я также создал серию очень простых регулярных выражений, с помощью которых каждый раз, когда отправляется веб-запрос, он отправляется с другим IP-адресом в заголовках, поэтому Интернет думает, что каждый запрос исходит от другая машина.

Код:

Регулярные выражения:

Заголовки:

Результат с Burpsuite:

Подключиться через прокси

Иногда нужно посмотреть какой запрос вы отправляете и как именно и что отвечает сервер, для этого я всегда использую прокси Burpsuite, но вы можете использовать любой другой, просто добавьте опцию -proxy в параметр команду и указываем адрес прокси, теперь пример:

Команда:

python3 bruteforce.py --url victim_url -user user -wordlist wordlist -proxy url_proxy

Результат:

Берпсьют:

Добавьте заголовки и данные

Одной из наиболее важных новых функций инструмента является возможность добавлять заголовки или данные к вашим запросам. Вы можете добавить до двух заголовков или двух параметров и быстро увидеть, как это работает, с возможностью добавления прокси.
Важно отметить, что формат должен быть следующим:

  • -данные «параметр»: «значение»
  • -данные «параметр1»:»значение»,параметр2»:»значение»
  • -заголовки «параметр»:»значение»
  • -заголовки «параметр1»:»значение»,параметр2»:»значение»

Примеры:

Команда:

python3 bruteforce.py --url victim_url -user user -wordlist wordlist -proxy url_proxy -headers "Testing":"Headers" -data "testing":"data"

Результат:

Фильтровать по ответу на сообщение об ошибке

Еще одним интересным вариантом является возможность добавить сообщение об ошибке, которое вы получаете, если пароль, когда запрос отвечает без этого сообщения об ошибке, будет означать, что это правильный пароль.

Код:

Выводы

Ну вот и заканчивается эта статья, я думаю, что это очень хорошо, и я думаю, что если кто-то захочет создать подобный инструмент, это будет очень хорошо, потому что вы можете почерпнуть некоторые идеи.
Надеюсь, вам понравилось, вы можете оставить это в комментарии ваше мнение или любые вопросы.

Если вам нравится мой контент и вы хотите помочь мне вывести этот проект на новый уровень, вы можете стать участником, пожертвовав ежемесячную подписку. Ваша поддержка поможет мне продолжать создавать качественный контент. Благодарим вас за щедрость!



Присоединяйтесь к Medium по моей реферальной ссылке — S12 — H4CK
Прочитайте каждую историю от S12 — H4CK (и тысяч других авторов на Medium). Ваш членский взнос напрямую поддерживает S12…medium.com



Если в настоящее время для вас нет возможности сделать пожертвование, не проблема! Я очень ценю вашу поддержку в распространении моего проекта и распространении информации. Несмотря на это, я продолжу создавать и делиться своими работами, и я благодарен за вашу поддержку и интерес.

Если вы хотите поддержать меня, вы можете проверить мой дополнительный профиль на Medium и просмотреть все статьи! Следуйте и поддержите его!. Это ссылка:



S12 WebPage — Medium
Kali Linux против Parrot OS Введение Добро пожаловать в мою новую статью сегодня, я покажу вам сравнение и личное…medium.com



Это YouTube-канал моей команды разработчиков вредоносного ПО, нам нужна ваша подписка и ваша поддержка.



S12 — Разработка вредоносных программ
Поделитесь своими видео с друзьями, семьей и всем миромwww.youtube.com



Спасибо, что прочитали это :)

S12.