Как пользоваться программой брут

Время от времени у некоторых пользователей возникает необходимость подобрать пароль к почтовому ящику или какому-либо ресурсу. Причины у всех свои, но далеко не каждый владеет нужным навыками. Для них и существует представленный ниже материал, в котором неопытные хакеры найдут информацию о том, как пользоваться Brutus AET2 − известной утилитой для взлома паролей.

Brutus AET2 – что это такое?

Brutus представляет собой специализированную утилиту для взлома паролей. Данная программа обладает обширным арсеналом ресурсов, которые она поможет "вскрыть". Приложение можно использовать для взлома любого веб-сайта, почтового ящика или даже FTP-сервера, то есть практически никаких ограничений для начинающих хакеров нет. Зачем нужен подобный инструмент? Возможно, вы забыли личный пароль и не можете его восстановить, а может быть, вы решили заглянуть в чью-либо переписку. Вариантов использования существует масса. Если появилась необходимость подобрать пароль, то в первую очередь следует узнать, как пользоваться Brutus AET2.

Как работает утилита?

Brutus AET2 работает по принципу подбора: вы даете программе базу паролей, которые она поочередно будет подставлять в нужное поле и пробовать пройти авторизацию до тех пор, пока не отыщет подходящий, единственно верный вариант. Это словно большая связка ключей, каждый из которых поочередно примеряется к замку до тех пор, пока один не подойдет.

Как пользоваться Brutus AET2?

Работа с программой требует ряда подготовительных процедур. В первую очередь вам необходимо настроить приложение и обзавестись словарем паролей (таковой можно создать самостоятельно или же найти в Сети подходящий вариант) для "брута" (процесс подбора паролей), который будет использован самой утилитой Brutus AET2. Инструкция по работе с программой состоит из нескольких основных этапов, каждый из которых представляет собой заполнение полей в приложении. Также необходимо определиться с типом подбора.

Brutus AET2 настройка, выбор типа подбора, словари

Основное окно программы включает в себя ряд полей и опций. Первая графа называется Target. Здесь следует указать точный адрес, где расположены поля для ввода данных (например, ваша любимая социальная сеть). Сайты могут немного отличаться, как могут отличаться и формы логина. Для того чтобы правильно указать информацию, следует сразу же обратиться к полю Type. В нем есть несколько вариантов:

• HTTP (Basic Auth) – если на сайте, который нужно взломать, при логине появляется дополнительное окно, то смело выбираем данный пункт и вписываем в поле Target адрес этого окна.
• HTTP (Forms) – если на сайте просто нужно заполнить форму с логином и паролем, то выбираем данный пункт.
• FTP – просто указываете адрес сервера (обычно это ftp) и его название.
• POP3 – это почта, поэтому указываем здесь адрес почтового сервиса (обычно он начинается с pop3 или mail) и его название.

Дальше следует раздел Connection Options. Тут все просто – порт будет выставлен автоматически, а время соединения можно настроить на свой вкус. Также существует возможность использовать прокси-сервер. Следующий раздел, называемый Authentication Options, является заключительным этапом. Он, в свою очередь, состоит из нескольких граф. Первая носит название Username. Тут есть два варианта: либо использовать готовый список пользовательских имен, каждое из которых будет подбираться отдельно, либо применить одно конкретное имя. Вторая графа – это пресловутый словарь. Как пользоваться Brutus AET2 со словарем? Все очень просто. Надо создать обычный текстовый файл и занести в него нужные символы или их комбинации, после чего прикрепить в приложение и запустить его. Как пользоваться Brutus AET2 без словаря? Тут сложнее. Вернее, настроить легко, а вот результатов добиться труднее. Существует два варианта. Первый – это комбо-листы (программа будет добавлять цифры и различные символы к логину), второй – это то, что называется BruteForce.

BruteForce (полный перебор) – это метод грубой силы, при котором программа будет бездумно перебирать все существующие символы и вставлять каждый из них в поле логина/пароля. Почему данный метод малоэффективен? Да потому, что для взлома более или менее внятного пароля, скажем, на двенадцать символов потребуется два миллиона лет. Единственное, на ком сработает, так это на людях, привыкших к паролям "12345", "199402". Такие пароли будут выявлены мгновенно. Все, программа готова к работе. Теперь можно ее запускать и следить за полем Positive Authentication Results, где появятся подошедшие комбинации логина и пароля.

Брутфорс – грубая сила, взлом перебором
В статье "Взлом ВК" было сказано, что взломать вк брутфорсом (программой) – невозможно.
Это не совсем так, лазейки всё таки-есть…
Ниже будет приведен рабочий скрипт, но сначала…

Внизу статьи — бесплатная прога для генерирования брут словаря и листинг "топ лоховских паролей"

Заранее делаю оговорку, что речь идет о классическом «переборе» без всяких алгоритмов PBKDF2 , без разбора хэширования sha , т.к. на бытовом уровне это неподъемная задача.

В сети гуляют множество программ «для взлома ВК перебором (брутом)»

Какую выбрать? Какая поможет (без вреда мне же)?
— Никакая

Каждый аккаунт ВК требует персонального подхода и шаблонные проги из сети -это всё лажа, развод, фуфло.

Сейчас сами поймете почему. Мат.часть кратко.

Минимальная длина пароля ВК – 6 символов.

Пароль обязательно должен содержать:
цифры (0-9 – 10 вариантов),
буквы (a-z – 26 в латинице),
заглавные буквы (A-Z – тоже 26)

Итого на каждый символ – 10+26+26=62 (!) варианта, поэтому количество комбинаций для:
6-и символьного пароля – 56 800 235 584 (56,8 миллиардов)
7-и символьного пароля – 3 521 614 606 208 (3,5 триллионов)
8-и символьного пароля – 218 340 105 584 896 (218 триллионов)
9-и символьного пароля –13 537 086 546 263 600 (ХЗ как это называется))))

Длину пароля мы не знаем, поэтому брутить придется диапазон хотя бы из 6-8 символов
Итого: 6+7+8 символов = 221 918 520 426 688 (222 триллиона) вариантов

Допустим у вас достаточно хороший комп, но возникает вопрос – сколько запросов к серверу ВК он сможет сделать?
Какая скорость перебора у домашнего компа?

Подсчитаем. Для этого откроем командную строку (Пуск – стандартные-Командная строка или запустим процесс cmd.exe)
Вбиваем команду ping vk.com , получаем ответ сервера

«Ответ от …..время 134мс» (это у меня, у вас время может отличаться)

Время пинга – это время за которое сигнал идет от нашей машины до сервака и обратно

В одной секунде 1000 миллисекунд (мс), поэтому
Скорость брута с вашей машины (запросов/сек) будет = 1000/время ответа
В моём случае 1000/134мс = 7,4 запроса (пароля) в секунду

Сколько же времени займет перебор паролей для ВК?

Напомню, что мы перебираем 221 918 520 426 688 (222 триллиона) вариантов пароля.

Поэтому, чтоб узнать сколько мы будем взламывать пароль ВК перебором делим количество на скорость, т.е.

221918520426688 пароля / 7,4 пароля в секунду = 29737081737176сек = 495618028953 мин = 8260300483 часов = 344179187 дней = 942957 лет

Вывод: реальная программа для взлома ВК могла бы подобрать пароль перебором за 94 тысячи лет.

Вопрос: А как же видео на ютюбе, в которых чудо-проги брутят страницу ВК за несколько минут/часов?
Отвечаю: Это развод созданный с целью заражения вашего компа для кражи ваших же данных. Не больше – не меньше.

Можно значительно ускорить процесс перебора!
Для этого нужно:
1. Повысить вычислительную мощность. Например, заразить 1.000.000 чужих компов и со всех одновременно брутить ВК (аж смешно)
2. Укоротить брут-словарь до, например, пары тыщ.(по принципу социальной инженерии)

Как сделать брут-словарь?
1. Ручками в программе блокнот (notepad.exe)
2. Прогой «генератор брута» (ссылка внизу статьи)

Этот брут – словарь наполняем реальными вариантами.

Реальные – это такие, которые хоть как-то связано с взламываемым человеком:

— телефоны (его, его родственников, друзей)
Пример — номера с +7с, 8кой, без 8ки – попадается редко

— даты рождения (его, его родственников, близких)
Пример — (одной и той же даты) 010118, 01012018, 20180101, 180101 – попадается часто

— Имена любимых, близких
Пример — SashaMaria, MariaIvanova, SaNoMaIv – попадается средне

Название сайта (или фамилия) на другой раскладке
Пример, если набрать слово «vkontakte» на русской раскладке, то получится – «млщтефлеу» — такая схема ну очень часто попадается на всех сайтах.

— лоховской список паролей для брута (список самых распространенных паролей в сети — ссылка в конце статьи)

Долго ли писать словарь? Ну, не очень – полчаса за глаза хватит. А кто сказал что будет легко?))

Допустим у нас есть созданный брут словарь и рабочая прога для подбора пароля ВК (либо ручной ввод по словарю).

Возникает одна важная проблема – система защиты сервера.

Собственно помеха её заключается в том, что при слишком частых запросах сервер тупо блокирует (временно) ваш IP. Кроме того, если вы работаете с ВК через стандартную форму ввода (HTMLFORM), то после 3 ей неудачной попытки ВК будет просить ввести капчу.

В старой версии ВК можно было просто перейти на мобильную версию – m.vk.com, теперь же мобильной версии как таковой нет – в 2016 году сделали единый адаптивный дизайн.

Как обойти капчу Вконтакте?

ВК требует ввод капчи после 3 неудачной попытки (перезагрузка F5 не помогает), а как он узнает что это именно вы делаете несколько попыток входа?

— по IP
— по кукам (cookies), кэшу и JavaScript

Значит, нам не реже чем через 3 запроса нужно менять IP и чистить куки.

С куками, кэшем и JavaScript нет проблем – их можно просто отключить в настройках браузера.

IP можно менять установив прогу по смене IP – в этом нет ничего мудреного, в сети их полно (Гугл в помощь)

Можно пользоваться браузером TOR (кто не знает – это браузер для анонимного гуляния по сети, он же меняет IP-шники при каждой новой сессии, полезная штука особенно для тех кто сёрфит или работает в САР)

Но почти полностью сводит на нет все попытки перебора ГЕОлокация.

Сервер ВК запоминает откуда (географически) был произведен последний вход.

И если ваш IP из другого населенного пункта, то (возможно) будет выскакивать надпись:

"Вы пытаетесь зайти под именем Ивана Иванова из необычного места."

Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.

Скрипт для брута web-форм (типа, Прога для взлома ВК)

Важно! На сервере ВК стоит скрипт отслеживающий частоту отправки пакетов, т.е. если вы будете долбить со скоростью N раз/сек – вас автоматически отправят в бан лист по IP.
Также ВК использует ГЕОслежение.

Без динамического IP брутить не стоит и пытаться, может помочь VPN.
Лично я считаю перебор паролей ВК делом малоперспективным, но для ценителей выложу старенький скрипт на Перл’е, позаимствованный у 5p4x2knet a.k.a. Apocalyptic’s и немного пофиксеный.

Скрипт работает методом POST только по двум параметрам – login и пароль.

Если логин известен (например, номер телефона), то соответствующие поля просто заполните значением без обращения к словарю.

Скрытые поля – капчу, картинки скрипт не передаст, скрывайте источник запросов (себя) как описано выше.

Тут нам пригодится вменяемый брут-словарь, который мы составляли в начале статьи. (назовем его, к примеру, brut.txt )

Также нужен файл, из которого наша программа будет получать информацию.

Программа будет вести брутфорс всех скриптов указанных в этом файле.( infa.txt ). Если скрипт один, то можно заменить

Естественно, файл для записи результатов ( result.txt )

Итак,
<
#подключаем объект
$usagent = LWP::UserAgent
#открываем файл с информацией (если не можем его открыть то выходим);
# скидываем файл в массив @infa и закрываем. (если скрипт один, то его можно сразу указать)
open(INFA, ";
close(INFA);
#открываем брут-словарь
open(BRUT, ";
close(BRUT);
#открытие файла с результатами (дописывает в конец).
open(RESULT, ">>$ARGV[2]");
#начало цикла
foreach $name (@infa)
<
#отделяем URL, login, переменные и инфу об ошибках
($url, $login, $log_vr, $pwd_vr, $failed) = split(//, $name);
#показываем URL
print "$url. n";
#запуск ещё одного цикла
foreach $brut (@brut)
<
#убиваем пробелы и переводы строк
$pss =

s/n//;
#подключаем новый объект
$usagent = LWP::UserAgent->new();
#создание запросов.
$req = HTTP::Request->new(POST=>$url);
$req->content_type(‘application/x-www-form-urlencoded’);
$req->content("$log_vr=$login&$pwd_vr=$pss");
#и егоотправка
$result = $usagent -> request($req);
#запись результатов в переменную
$res = $result->content;
#если не получилось формируется сообщение об ошибке
if($res!

10 марта 2018 года. Опубликовано в разделах: Азбука терминов. 4629

Несмотря на расширение штата служб информационной безопасности корпораций и крупных порталов, в СМИ постоянно проскальзывают новости о взломе тех или иных серверов, сайтов, баз данных и об утечках коммерческой или конфиденциальной информации. Немаловажным инструментом в руках киберпреступников играет метод грубой силы — брутфорс, позволяющий перебирать пароли и всевозможные комбинации до полного совпадения.

Но не стоит полагать, что брутфорс-атака применяется только в отношении коммерческих структур и военных министерств для извлечения финансовой прибыли или создания сбоя работы оборонных комплексов. По аналогии с ядерной бомбой и технологией "мирный атом" можно провести параллель с хакерской атакой на электронную почту или сайт и восстановлением забытого пароля в соцсети или в учетной записи Windows. Да, метод подбора паролей используется и в благих целях, когда все возможные варианты по восстановлению невозможны. Давайте ознакомимся с основными разработками для брута и вкратце узнаем о каждой.

Известные брутфорс-акции

Ежемесячные атаки на банковские структуры, различные ведомства и министерства за рубежом до русскоязычных новостных платформ доходили в искаженном виде и сильно не освещались. Но в начале августа 2013 года рунет, а конкретнее — владельцы сайтов на популярных CMS столкнулись с массовыми атаками на ресурсы. Целью злоумышленников являлся доступ к админ-панелям, и если бы хостинг-провайдеры вовремя не спохватились и не заставили бы владельцев привязать к админкам IP-адреса, последствия могли быть весьма печальны. Атаке подвергались страницы /wp-login.php и /wp-admin, взломанные сайты присоединялись к ботнет-сети и пополняли армию атакующих.

Программы для брутфорса

Администрация портала не несет ответственности за незаконное применение пользователями предоставленной им информации о ПО. Статья несет лишь ознакомительную функцию. Кроме того, все программы расцениваются операционной системой и антивирусами, как опасные для использования, поэтому могут содержать в себе вредоносный код.

Brutus — AET2

Одна из самых популярных разработок для взлома пароля сторонних компьютеров посредством сети. Программа доступна в даркнете, в открытом доступе же быстро блокируется поисковыми системами и сетевыми антивирусами. Установка приложения стандартная, перейдем сразу к настройкам.

В окне Target вводим адрес сервера. В Authentication options вписываем наиболее распространенные имена пользователей, хотя программа ссылается на документ user.txt взламываемого компьютера. Ставим галочку напротив Single user. в выпадающем окне Pass Mode выбираем Brute Force. Далее — Range.

Всплывет окно для задания параметров, если есть какая-то информация о содержании пароля, указываем ее здесь. Это может быть длина символов, нижний регистр, верхний регистр, все символы, только цифры или буквы.

[ Web ] Brute Forcer

Данная утилита предназначена для брутфорса сайтов, а конкретнее — аккаунтов личных кабинетов на различных порталов. Для работы необходимо знать следующие параметры:

• адрес личного кабинета (вроде sire.ru/wp-admin для админки вордпресс);
• вводимые поля (логин, пароль);
• индикатор успешного входа.

Приложение имеет встроенный менеджер словарей паролей.

Router Brute force

Метод подбора паролей используется и в более прозаичных случаях — например для получения доступа к Wi-Fi. Программа разработана для системы Android. Имеется встроенный словарь распространенных паролей, который можно дополнять скачанными модификациями и дополнениями с интернета, либо вписать самостоятельно. В поле логин забито значение “admin” по умолчанию.

Брутфорс для ВК

Специализированные форум и паблики соцсетей кишат сообщениями и предложениями услуг по взлому страниц вконтакте методом подбора. Всевозможные “хакерские” сайты предлагают скачать чудодейственную программу, которая в считанные минуты подберет ключ к любой странице ВК. Доля правды в этом есть — пароль и логин от аккаунта соцсети станут известны разработчикам программы, поскольку доверчивый пользователь, скачавший приложение, введет их в окне настройки. Весь, абсолютно весь софт, продвигаемый под брендом взлома вконтакте имеет две цели — вытянуть средства за оплату ПО юзером, либо похитить его данные.

Взлом личных страниц вконтакте методом грубого перебора был актуален до 2011 года, после чего разработчики озаботились безопасностью пользователей и ввели скрипты, позволяющие блокировать подозрительные аккаунты с большим количеством попыток входа, и обходящие антикапчу боты. Администрация портала вправе подать исковое заявление в суд о попытке взлома аккаунта пользователя исходя из данных IP-адреса, с которого осуществлялось действие.

Как обезопасить себя от взлома

Как бы банально это ни звучало — не разглашайте конфиденциальные данные, даже если собеседник вам симпатичен. Устанавливайте пароли чуть более сложные, нежели пресловутые 123456789, qwerty, даты рождения, имена и фамилии, и прочие шаблонные комбинации.

Для перехвата логина, знание которого развяжет мошенникам руки, достаточно перейти по ссылке с содержанием троянского вируса. Потому игнорируем входящие от сомнительных личностей линки, каким бы заманчивым ни казалось содержание контента по ним и какие бы выгоды оно ни сулило.

Социальная инженерия для брута

Зачастую для упрощения задачи и установления максимально возможных критериев злоумышленники прибегают к опросу потенциальной жертвы в соцсетях или посредством других мессенджеров. Основная информация, которую выуживает мошенник — имена, телефоны, фамилии, даты рождения родных и близких, друзей детства. Все это значительно упрощает поиск, сводя к относительному минимуму число вариантов для обработки пароля и логина.

Стоит ли игра свеч

Что такое брутфорс в современных реалиях? Будем откровенны — все программы предлагают лишь теоретическое решение проблемы, так как на практике скомпилировать множество вариаций паролей хотя бы в диапазоне от 0-9, А-я, A-z, при условии символов в количестве от 6 до 9 будет непросто, итоговая сумма комбинаций равняется 220 триллионам!, а подбор такого количества запросов с учетом использования даже мощного оборудования, смены IP-адресов превысит 90 тыс. лет! Конечно, выставление определенных критериев вроде дат, имен, значимых событий, исключения лишних параметров и видов комбинаций, подключение антикапча-сервисов, а также проведение операции посредством сети, состоящей из множества компьютеров, значительно ускорит процесс, но опять же не гарантирует результата и вряд ли окупит потраченные усилия и средства.

Прибегать к подбору паролей стоит лишь в том случае, когда основа искомого известна, допустим, это какое-то число или дата, и необходимо лишь подобрать к ней комбинацию из нескольких цифр или букв. Дабы не делать этого вручную, лучше воспользоваться автоматизированным брутфорсом.