Tongthieugia
New member
- Xu
- 0
Họ dùng chương trình Brute forcing
Brute forcing là 1 chương trình dùng để kết hợp Pass và user lại với nhau để tìm ra quyền user,credit card....
Brute forcing làm dựa trên các text chứa các từ cho trước,càng nhiều từ,càng nhều cơ họi đóan trúng.
Brute forcing làm việc nhanh hay chậm là tùy vào cái password của user đó,nếu pass word là "password",hay"theworld",thì chương trình mất khỏang 10 phút thì tìm ra,còn nếu password là"coconvuive12345" hay “ Trang 1751995” hay “Nguoi Dien 1234” thì có thể sẽ mất 1 tuần, 1 tháng, 1 năm hoặc mãi mãi nếu từ này không có trong passlist, do đó đây cũng chỉ là 1 phương pháp cuối cùng cho hacker thôi,nó mất rất nhiều thời gian,công sức, nếu họ dùng mạng adsl, dsl thì việc này còn có thể thực hiện, còn nếu ta dùng modem thì bán nhà chưa chắc họ đủ tiền để tìm ra pass nếu cái password quá rắc rối. Khi sử dụng Brute forcing họ cần phải có độ bảo mật cao, như xài proxy.......vì các việc mà bạn là là login liên tục, admin trang web có thể biết thông qua LOGS, biết được số IP, chương trình sử dụng.....và gọi cho ISP của bạn,do đó sử dụng proxy và các phương pháp bảo mật khác là khá quan trọng
Có rất nhiều chương trình Brute forcing như brute forcer của
www.hackology.com,trong bài viết này là đề cập đến chương trình Brutus,1 chương
trình đứng trong 50 chương trình về net work hay nhất trên trang www.insecure.org
bạn có thể down chương trình này ở www.hoobie.net ,sau đó down list 15 triệu từ ở ftp://passwordfile:thisisadumbpassword@24.56.20.93/
Nếu mở Brutus ra.
Giao diện chương trình khá dễ dùng, đánh IP hoặc domain của victim vào ô victim, load file user và password(trong ảnh là user.txt và words.txt).
Rồi khi bấm vào nút proxy để sử dụng proxy. Proxy của chương trình sử dụng là sock, chọn lọai sock và đánh vài Proxy server, nếu proxy cầm username và pass thì check vào ô authintication và đánh pass, username vào, OK và start để bắt đầu.
Nếu ai giỏi về C, C++,C#, delphi.......thì có thể tự tạo 1 chương trình brute forcing riêng, có thể tăng tốc brute force lên và có thể hiệu chỉnh riêng....
Vậy là họ đã deface 1 trang web rồi đó, phần kế tiếp là về cách sử dụng 1 số tools quan trọng để quét server, biết được các thông tin như whois,IP, server.......và cấu trúc website.
Sao họ biết các chương trình whois,IP,name server..?
SAM SPADE
samspade dùng để xác địng whois,name server,DNS,username.....,các bạn có thể sử dụng các công cụ trong đó,rất dễ dàng, có cái tools khá hay là CRAWL website để tìm các thông tin.
Bấm nút CRAWL website
Đánh address victim vào,check vào nút include headers, include images inline, phần check website for thì các bác check vào những thông tin mình muốn tìm,sau đó bấm OK, start SS.
Các bạn sẽ có thể biết được các thông tin chính về website và cả các thông tin phụ nữa.
Tools tiếp theo, xài IntelliTamper download tại www.intellitamper.com
Đây là chương trình để scan cấu trúc website và hiển thị dưới dạng cây như windows explorer, cái này chỉ có thể quét được các folder không có pass bảo vệ, nó có thể cho họ biết các trang web ẩn, nếu admin web site "ngu" tới nỗi để các thông tin quan trọng ở ngòai thì họ có thể quét là có thông tin, còn những cái khác thì cũng dở hơi thôi.
cách họ dùng: rất đơn giản, đánh tên domain victim vào box, quét và đợi, nó sẽ đưa ra các thông số về server như OS,cấu trúc.....tuy nhiên chương trình thường không thực tế cho lắm.
---Tong---
Brute forcing là 1 chương trình dùng để kết hợp Pass và user lại với nhau để tìm ra quyền user,credit card....
Brute forcing làm dựa trên các text chứa các từ cho trước,càng nhiều từ,càng nhều cơ họi đóan trúng.
Brute forcing làm việc nhanh hay chậm là tùy vào cái password của user đó,nếu pass word là "password",hay"theworld",thì chương trình mất khỏang 10 phút thì tìm ra,còn nếu password là"coconvuive12345" hay “ Trang 1751995” hay “Nguoi Dien 1234” thì có thể sẽ mất 1 tuần, 1 tháng, 1 năm hoặc mãi mãi nếu từ này không có trong passlist, do đó đây cũng chỉ là 1 phương pháp cuối cùng cho hacker thôi,nó mất rất nhiều thời gian,công sức, nếu họ dùng mạng adsl, dsl thì việc này còn có thể thực hiện, còn nếu ta dùng modem thì bán nhà chưa chắc họ đủ tiền để tìm ra pass nếu cái password quá rắc rối. Khi sử dụng Brute forcing họ cần phải có độ bảo mật cao, như xài proxy.......vì các việc mà bạn là là login liên tục, admin trang web có thể biết thông qua LOGS, biết được số IP, chương trình sử dụng.....và gọi cho ISP của bạn,do đó sử dụng proxy và các phương pháp bảo mật khác là khá quan trọng
Có rất nhiều chương trình Brute forcing như brute forcer của
www.hackology.com,trong bài viết này là đề cập đến chương trình Brutus,1 chương
trình đứng trong 50 chương trình về net work hay nhất trên trang www.insecure.org
bạn có thể down chương trình này ở www.hoobie.net ,sau đó down list 15 triệu từ ở ftp://passwordfile:thisisadumbpassword@24.56.20.93/
Nếu mở Brutus ra.
Giao diện chương trình khá dễ dùng, đánh IP hoặc domain của victim vào ô victim, load file user và password(trong ảnh là user.txt và words.txt).
Rồi khi bấm vào nút proxy để sử dụng proxy. Proxy của chương trình sử dụng là sock, chọn lọai sock và đánh vài Proxy server, nếu proxy cầm username và pass thì check vào ô authintication và đánh pass, username vào, OK và start để bắt đầu.
Nếu ai giỏi về C, C++,C#, delphi.......thì có thể tự tạo 1 chương trình brute forcing riêng, có thể tăng tốc brute force lên và có thể hiệu chỉnh riêng....
Vậy là họ đã deface 1 trang web rồi đó, phần kế tiếp là về cách sử dụng 1 số tools quan trọng để quét server, biết được các thông tin như whois,IP, server.......và cấu trúc website.
Sao họ biết các chương trình whois,IP,name server..?
SAM SPADE
samspade dùng để xác địng whois,name server,DNS,username.....,các bạn có thể sử dụng các công cụ trong đó,rất dễ dàng, có cái tools khá hay là CRAWL website để tìm các thông tin.
Bấm nút CRAWL website
Đánh address victim vào,check vào nút include headers, include images inline, phần check website for thì các bác check vào những thông tin mình muốn tìm,sau đó bấm OK, start SS.
Các bạn sẽ có thể biết được các thông tin chính về website và cả các thông tin phụ nữa.
Tools tiếp theo, xài IntelliTamper download tại www.intellitamper.com
Đây là chương trình để scan cấu trúc website và hiển thị dưới dạng cây như windows explorer, cái này chỉ có thể quét được các folder không có pass bảo vệ, nó có thể cho họ biết các trang web ẩn, nếu admin web site "ngu" tới nỗi để các thông tin quan trọng ở ngòai thì họ có thể quét là có thông tin, còn những cái khác thì cũng dở hơi thôi.
cách họ dùng: rất đơn giản, đánh tên domain victim vào box, quét và đợi, nó sẽ đưa ra các thông số về server như OS,cấu trúc.....tuy nhiên chương trình thường không thực tế cho lắm.
---Tong---
