Hei
Forord
Dette har blitt tatt opp før, men det har ikke blitt laget noe guide. Så tar nå for meg hvordan det gjøres, pent og punktlig: Hvordan man kommer seg inn på eksempelvis pornosider, uten å betale. Grunnen til at jeg nevner pornosider, er fordi store deler av pornoindustrien har laget innlogging med svakheter vi kan utnytte.
Denne metoden er eldgammel, men jeg vet at det alltid kommer til å eksistere sider som inneholder sårbarheter mot denne metoden.
[COLOR=Red]Jeg tar ikkeno ansvar for det som blir brukt i denen guden. Guiden er ment som lærdom og sikkerhetstesting på egne sider.[/COLOR]
Hvorfor hacke pornosider istedenfor å nedlaste fra torrents?
- Det er artig
- Man får bedre porno
- Streame i stedenfor å nedlaste
- Du kan nedlaste utallige dvd'er
- Du slipper masse spam, virus og drit som ellers finnes på gratise sider
(Man kan selvsagt bruke dette mot andre sider en pornosider.. haha)
Brute Force
Brute Force er en metode som går ut på å teste x antall brukernavn og passord, helt til man finner en som fungerer. Alle de som vet hva det er, vet at det tar tid. Men, med riktig wordlist, kan det tå nokså kort tid.
Wordlist
Detta er ordlista. En wordlist kan inneholde brukernavn, passord eller brukernavn og passord. Jeg tar for meg wordlista med både brukernavn og passord. Denne lista kalles en Combo-list. Brukernavn og passord er da delt inn Brukernavn:Passord.
HTTP Authentication
HTTP Autorisering er en måte å passordsikre seg på. Dette er hovedsaklig det som er best å brute-force. Find sider, der "members" innlogginga har en sånn en. Andre innlogginger kan selvsagt crackes de også, men jeg tar for meg denne nå. Se eksempel. (PUT)
Proxy
Proxy kan ses på som en "mellommann". Dvs. at du hacker igjennom en annens IP adresse. Dermed kan du ikke bli tatt for det. En typisk proxy adresse, ser slik ut: 63.149.98.80:80 Der IP adressen er 63.149.98.80 og porten er 80. Skal ikke ta for meg proxy nå, men det er bare å søke på "free proxy list" ellerno på google, så får du mange treff. Prolemet er å finne en rask proxy, som ikke er alt for treg.
Trådløst nettverk
Det er dette vi er ute etter. Et ubeskyttet trådløst nettverk (som selvførgelig ikke er vårt eget nettverk). Hvis vi hacker på denne måten, skjuler vi oss, med høy fart, uten å bruke noen treg proxy. Bruk denne metoden!
Brutus (Nedlast Brutus her)
Brutus er Brute Force programmet vi kommer til å bruke. Programmet ser slik ut:
http://img213.imageshack.us/img213/7643/brutusyz1.th.gif
Her er en forklaring:
1. Her skal du putte inn linken direkte til innlogginga.
2. Metoden den bruker. HEAD er mest vanlig, men enkelte ganger må PUT brukes. GET har jeg aldri opplevd å ha måtte brukt.
3. Type metode du skal bruke. HTTP (Basic Auth) er det samme som HTTP Autorisering. Dermed, la denne så som den står.
4. Hvis du vil bruke Proxy, definer den her. Jeg har nesten aldri brukt det, og har aldri opplevd noen problemer med det.
5. Hvordan combolista er oppbygd. Vi bruker brukernavnassord, så Delimiter skal stå på :.
6. Dette er hvilken type wordlist du skal bruke. Denne skal stå på Combo list.
7. Her kommer det opp brukernavn og passord som kommer igjennom. På dette søket, tok det bare 2 min før jeg fikk treff.
8. Hvilket passord den tester atm.
Athena (Nedlast Athena her)
http://img213.imageshack.us/img213/4852/athenaek3.th.gif
Athena er programmet vi skal bruke til å lage en combo-wordlist. Athena søker igjennom google etter password dumps, og lagrer det til en fil i samme mappe (logins.txt).
Bildeforklaring:
1. Her kan du legge inn proxy (dette er ikke ulovlig, så det er ikke nødvendig.
2. Hvor mange Threads (angrep, bot-er, el.) du skal bruke. 20 funker fjell.
3. Denne er det viktig å huke av.
4. Se magien!
5. Trykk her for å starte (også Stop for å stoppe). Det kan ta noe tid dette her. La den gå minst 30min-en time for å få en grei wordlist. Programmet bruker også en del tid på å avslutte dumpingen. Bare gi programmet den tiden den trenger.
Dermedm istedenfor å finne opp en crappy liste en selv, så finner programmet en god liste for deg. Problemet er at Athena ikke lager wordlisten til deg, men finner brukernavn og passord til sider. Disse brukernavnene og passordene trenger ikke å funke på akkurat den siden athena finner, men det passordet og brukernavnet er fresht. Det er akkurat det vi er ute etter. Så ikke finn på en egen liste, eller nedlast et gammelt et, men følg denne guiden. Men for å lage wordlisten, trenger vi å behandle logins.txt igjennom et annet program:
Raptor 3 (Nedlast Raptor 3 her)
http://img456.imageshack.us/img456/2254/raptor3dz8.th.gif
Dette programet er et flott program til å fikse på wordlister med. Det jeg skal vise dere, er basice ting som å sortere ut brukernavn og passord, fjerne like passord ol. Slik gjør du det:
1. Åpne Raptor 3.
2. Trykk på "Generators" helt nede i venstre hjørne.
3. Trykk på "Pass Leecher".
4. Trykk på "File Leecher" i verktøylinja.
5. Høyereklikk i det hvite vinduet og trykk "Add file"
6. Finn fram til fila logins.txt som Athena lagde til deg.
7. Trykk på "Leech" (knappen er rett under det hvite vinduet).
8. La programmet gjøre jobben sin.
Nå skal vi rydde opp litt.
9. Trykk på fanen "List Tools" helt øverst, så "Remove Duplicates". Dette fjerner duplikater (like brukernavn og passord).
10. Trykk på fanen "List Tools" helt øverst, så "Sort Ascending". Dette sorterer det hele alfabetisk, etter brukernavn.
11. Fjern dumme brukernavn og passord (disse kommer oftest øverst og nederst i wordlista). Eks: ***:***.
12. Lagre wordlista.
En alternativ måte å logge seg inn på en side, uten å måtte skrive brukernavnet og passordet, er å skille linken med @. Eksempel: http://brukernavn:passord@linkentils...ekstboksen.com
Håper denne guiden kommer til nytte hos noen.
For å finne gode siden å angripe, gå på google å søk på "best pay porn sites" og jobb deg utover det. Men husk å ikke rot deg alt for langt bort, for da må antivirusen din hjelpe deg på tvang. Sider vi er ute etter, er sider som har dårlig beskyttelse, men adgang til ekstrasider, som dvd-arkiver osv.
Hadde ikke giddet å lage denne guden, hadde det ikke vært for det geniale programmet Athena. Desverre, så er www.deny.de nede forever, men heldigvis hadde jeg programmene derfra på pc'en.
Raptor 3-linken jeg linket til, er til en ukjent side. Jeg bare brukte google til å finne fila "raptor.zip". Så hvis linken blir død, trykk her å finn en ny link, istedenfor å skyte meg. Fila SKAL hete raptor.zip og være på ca 1.8 mb
Trøbbel?
- Brutus liker ikke linjer i wordlista som ikke er passord. Eksempel: ewgg istedenfor feef:eefg. Symtomene på dette, er at Brutus går fra f. eks. 10% til 100% helt plutselig.
- Det er ikke alle sider Brutus klarer å hacke. Mange sider har timeouts osv. De holder vi oss bare unna.
- Andre ting? Spør meg!
(Og ikke flame meg for å laget en gude for gratis porno.. Jeg er da gutt for faen. =) )
En moderator kan også la meg redigere denne tråden over lang tid hvis de vil gjøre meg en stor tjeneste.
EDIT: Flytt denne til Datasikkerhet? Sorry..
EDIT: Er det noen med som kan hoste disse tre programmene for meg, så hadde det vært best. Da slipper vi at de forsvinner i framtiden.
...All hail FreakForum
Forord
Dette har blitt tatt opp før, men det har ikke blitt laget noe guide. Så tar nå for meg hvordan det gjøres, pent og punktlig: Hvordan man kommer seg inn på eksempelvis pornosider, uten å betale. Grunnen til at jeg nevner pornosider, er fordi store deler av pornoindustrien har laget innlogging med svakheter vi kan utnytte.
Denne metoden er eldgammel, men jeg vet at det alltid kommer til å eksistere sider som inneholder sårbarheter mot denne metoden.
[COLOR=Red]Jeg tar ikkeno ansvar for det som blir brukt i denen guden. Guiden er ment som lærdom og sikkerhetstesting på egne sider.[/COLOR]
Hvorfor hacke pornosider istedenfor å nedlaste fra torrents?
- Det er artig
- Man får bedre porno
- Streame i stedenfor å nedlaste
- Du kan nedlaste utallige dvd'er
- Du slipper masse spam, virus og drit som ellers finnes på gratise sider
(Man kan selvsagt bruke dette mot andre sider en pornosider.. haha)
Brute Force
Brute Force er en metode som går ut på å teste x antall brukernavn og passord, helt til man finner en som fungerer. Alle de som vet hva det er, vet at det tar tid. Men, med riktig wordlist, kan det tå nokså kort tid.
Wordlist
Detta er ordlista. En wordlist kan inneholde brukernavn, passord eller brukernavn og passord. Jeg tar for meg wordlista med både brukernavn og passord. Denne lista kalles en Combo-list. Brukernavn og passord er da delt inn Brukernavn:Passord.
HTTP Authentication
HTTP Autorisering er en måte å passordsikre seg på. Dette er hovedsaklig det som er best å brute-force. Find sider, der "members" innlogginga har en sånn en. Andre innlogginger kan selvsagt crackes de også, men jeg tar for meg denne nå. Se eksempel. (PUT)
Proxy
Proxy kan ses på som en "mellommann". Dvs. at du hacker igjennom en annens IP adresse. Dermed kan du ikke bli tatt for det. En typisk proxy adresse, ser slik ut: 63.149.98.80:80 Der IP adressen er 63.149.98.80 og porten er 80. Skal ikke ta for meg proxy nå, men det er bare å søke på "free proxy list" ellerno på google, så får du mange treff. Prolemet er å finne en rask proxy, som ikke er alt for treg.
Trådløst nettverk
Det er dette vi er ute etter. Et ubeskyttet trådløst nettverk (som selvførgelig ikke er vårt eget nettverk). Hvis vi hacker på denne måten, skjuler vi oss, med høy fart, uten å bruke noen treg proxy. Bruk denne metoden!
Brutus (Nedlast Brutus her)
Brutus er Brute Force programmet vi kommer til å bruke. Programmet ser slik ut:
http://img213.imageshack.us/img213/7643/brutusyz1.th.gif
Her er en forklaring:
1. Her skal du putte inn linken direkte til innlogginga.
2. Metoden den bruker. HEAD er mest vanlig, men enkelte ganger må PUT brukes. GET har jeg aldri opplevd å ha måtte brukt.
3. Type metode du skal bruke. HTTP (Basic Auth) er det samme som HTTP Autorisering. Dermed, la denne så som den står.
4. Hvis du vil bruke Proxy, definer den her. Jeg har nesten aldri brukt det, og har aldri opplevd noen problemer med det.
5. Hvordan combolista er oppbygd. Vi bruker brukernavnassord, så Delimiter skal stå på :.
6. Dette er hvilken type wordlist du skal bruke. Denne skal stå på Combo list.
7. Her kommer det opp brukernavn og passord som kommer igjennom. På dette søket, tok det bare 2 min før jeg fikk treff.
8. Hvilket passord den tester atm.
Athena (Nedlast Athena her)
http://img213.imageshack.us/img213/4852/athenaek3.th.gif
Athena er programmet vi skal bruke til å lage en combo-wordlist. Athena søker igjennom google etter password dumps, og lagrer det til en fil i samme mappe (logins.txt).
Bildeforklaring:
1. Her kan du legge inn proxy (dette er ikke ulovlig, så det er ikke nødvendig.
2. Hvor mange Threads (angrep, bot-er, el.) du skal bruke. 20 funker fjell.
3. Denne er det viktig å huke av.
4. Se magien!
5. Trykk her for å starte (også Stop for å stoppe). Det kan ta noe tid dette her. La den gå minst 30min-en time for å få en grei wordlist. Programmet bruker også en del tid på å avslutte dumpingen. Bare gi programmet den tiden den trenger.
Dermedm istedenfor å finne opp en crappy liste en selv, så finner programmet en god liste for deg. Problemet er at Athena ikke lager wordlisten til deg, men finner brukernavn og passord til sider. Disse brukernavnene og passordene trenger ikke å funke på akkurat den siden athena finner, men det passordet og brukernavnet er fresht. Det er akkurat det vi er ute etter. Så ikke finn på en egen liste, eller nedlast et gammelt et, men følg denne guiden. Men for å lage wordlisten, trenger vi å behandle logins.txt igjennom et annet program:
Raptor 3 (Nedlast Raptor 3 her)
http://img456.imageshack.us/img456/2254/raptor3dz8.th.gif
Dette programet er et flott program til å fikse på wordlister med. Det jeg skal vise dere, er basice ting som å sortere ut brukernavn og passord, fjerne like passord ol. Slik gjør du det:
1. Åpne Raptor 3.
2. Trykk på "Generators" helt nede i venstre hjørne.
3. Trykk på "Pass Leecher".
4. Trykk på "File Leecher" i verktøylinja.
5. Høyereklikk i det hvite vinduet og trykk "Add file"
6. Finn fram til fila logins.txt som Athena lagde til deg.
7. Trykk på "Leech" (knappen er rett under det hvite vinduet).
8. La programmet gjøre jobben sin.
Nå skal vi rydde opp litt.
9. Trykk på fanen "List Tools" helt øverst, så "Remove Duplicates". Dette fjerner duplikater (like brukernavn og passord).
10. Trykk på fanen "List Tools" helt øverst, så "Sort Ascending". Dette sorterer det hele alfabetisk, etter brukernavn.
11. Fjern dumme brukernavn og passord (disse kommer oftest øverst og nederst i wordlista). Eks: ***:***.
12. Lagre wordlista.
En alternativ måte å logge seg inn på en side, uten å måtte skrive brukernavnet og passordet, er å skille linken med @. Eksempel: http://brukernavn:passord@linkentils...ekstboksen.com
Håper denne guiden kommer til nytte hos noen.
For å finne gode siden å angripe, gå på google å søk på "best pay porn sites" og jobb deg utover det. Men husk å ikke rot deg alt for langt bort, for da må antivirusen din hjelpe deg på tvang. Sider vi er ute etter, er sider som har dårlig beskyttelse, men adgang til ekstrasider, som dvd-arkiver osv.
Hadde ikke giddet å lage denne guden, hadde det ikke vært for det geniale programmet Athena. Desverre, så er www.deny.de nede forever, men heldigvis hadde jeg programmene derfra på pc'en.
Raptor 3-linken jeg linket til, er til en ukjent side. Jeg bare brukte google til å finne fila "raptor.zip". Så hvis linken blir død, trykk her å finn en ny link, istedenfor å skyte meg. Fila SKAL hete raptor.zip og være på ca 1.8 mb
Trøbbel?
- Brutus liker ikke linjer i wordlista som ikke er passord. Eksempel: ewgg istedenfor feef:eefg. Symtomene på dette, er at Brutus går fra f. eks. 10% til 100% helt plutselig.
- Det er ikke alle sider Brutus klarer å hacke. Mange sider har timeouts osv. De holder vi oss bare unna.
- Andre ting? Spør meg!
(Og ikke flame meg for å laget en gude for gratis porno.. Jeg er da gutt for faen. =) )
En moderator kan også la meg redigere denne tråden over lang tid hvis de vil gjøre meg en stor tjeneste.
EDIT: Flytt denne til Datasikkerhet? Sorry..
EDIT: Er det noen med som kan hoste disse tre programmene for meg, så hadde det vært best. Da slipper vi at de forsvinner i framtiden.
...All hail FreakForum
Sist endret av PassDude; 5. desember 2007 kl. 10:38.