Atacar Form con C-Force

Posted by julen On 0 comentarios


El ejemplo lo pongo con la web DVDrack.com utilizando CForce. Lo primero es coger la URL exacta del lugar donde aparece el formulario de acceso:

http://dvdrack.com/account.mvc/login
Esa Url es la que introduciríamos en Cforce, desde la pesataña PRO en el recuadro "Main Url:", despues pulsamos "Analyse" y esperamos que el programa detecte el codigo (Aparecera lo que en la captura esta en el recuadro naranja). Estos datos tambien se pueden rellenar a mano cuando Cforce no los detecta correctamente pero no te quiero liar mas la cabeza. Con esto ya estaría configurada la orden que a de enviar el bruteforce a la web.


[Imagen: GZibE.png]


Ahora debemos hacer que el programa interprete las respuestas que producen esa orden ( Respuesta fallida y respuesta acertada).


Para encontrar la respuesta fallida lo mas simple es que nosotros mismo la generemos simplemente introduciendo un username y un password falso en la web para ver que respuesta de error nos da. Esta la deberemos introducir como Failwordspara que cuando el programa lea la pagina sepa que es una respuesta errónea, inservible. Es recomendable utilizar el código fuente de las webs para copiar estas respuestas de una manera mas extensa y así ser mas concretos.


[Imagen: parOl.png]


[Imagen: BfrVQ.png]

Encontrar la respuesta acertada es algo mas complicado. La success key seria un pedazo de código que identifica la sección de miembros del resto. De modo que el programa al leer ese pedazo de código nos asegure 100% que es la respuesta correcta y la respuesta correcta nos indica que el pase es acertado. Para la success key en la mayoría de sus casos se suele utilizar el mismo titulo de la pagina, pero en este no me sirve ya que utiliza el mismo titulo en la sección sin loguear que en la logueada. Puedes conseguirla si has entrado previamente a la sección de miembros o bien que alguien te la pase o la pilles de algún listado de los cientos que hay por internet. Si no dispones de ella, también puedes "atacar" la web pero seguramente te saldrán un montón de fakes, lo que te obligara a irles probando manualmente hasta dar con uno correcto y ya poder extraer ese pedazo de código para próximos "ataques".

Yo tenia un password, asi que entre a la web y busque mi propia key que añadire a Hitwords para garantizar unos resultados 100% efectivos.


[Imagen: oCxcP.png]


[Imagen: 1EYWY.png]

Con eso ya esta mas que suficientemente preparado. Ahora solo hay que pulsar "Brutefoce" , nos redigira a "Auto", desde ahi añadimos los proxys y combos... Start y esperar...
[Imagen: 8j2DW.png]


Fuente: Corazondeperro.com
Etiquetas: , , , , , , ,

0 comentarios:

Publicar un comentario