[Java] BruteBeast (Tool wie AccessDiver)

Dieses Thema im Forum "Projekte / Codes" wurde erstellt von Chillikid, 14. März 2010 .

  1. 14. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    BruteBeast (Tool wie AccessDiver)

    BruteBeast

    NEUSTE VERSION: 1.4

    Beschreibung
    Ein Tool ähnlich AccessDiver, also für Dictionary-Attacks auf Webseiten. Natürlich nur auf Seiten, die euch gehören oder bei Pentests

    Features
    • Combolists oder User+Passlists
    • Mutationen
    • Multi-Threaded
    • Proxy Unterstützung
    • Basic Authentification
    • Detaillierte Konfiguration (z.B. Timeouts, Delays zwischen Requests)
    • Anti-Username/IP-Ban
    • Failure&Success Keywords (v1.1)
    • Verschiedene Ausgabeformate (v1.11)
    • Form-based Logins (v1.2)
    • Speichern der Konfiguration (v1.21)
    • Statistiken (v1.32)
    • User-Agent wählbar (v1.33)
    • FormAnalyzer (v1.4)

    Screenshots
    Spoiler
    Bild
    Bild
    Bild
    Bild
    Bild
    Bild

    Download
    BruteBeast v1.4 Binaries

    BruteBeast v1.0 Source (Lizensiert unter GPL)

    Spoiler
    Ältere Versionen
    BruteBeast v1.36 Binaries

    BruteBeast v1.35b Binaries

    BruteBeast v1.35a Binaries

    BruteBeast v1.35 Binaries

    BruteBeast v1.34 Binaries

    BruteBeast v1.33a Binaries

    BruteBeast v1.33 Binaries

    BruteBeast v1.32 Binaries

    BruteBeast v1.31 Binaries

    BruteBeast v1.3 Binaries

    BruteBeast v1.21a Binaries

    BruteBeast v1.21 Binaries

    BruteBeast v1.2 Binaries

    BruteBeast v1.11 Binaries

    BruteBeast v1.1 Binaries

    BruteBeast v1.0 Binaries
    BruteBeast v1.0 Source (Lizensiert unter GPL)

    Changelog
    Ich würde mich über Kritik, Vorschläge und/oder Kommentare sehr freuen!
     
  2. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Danke, ich habe es getestet, es funktioniert 1A!
    BW haste );

    mfg
     
  3. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Finde dein Tool auch Klasse. Was mir besonders daran gefällt ist das die Bedinung sehr einfach ist und der Funktionsumfang nicht so überladen wie AccessDiver .

    Ne Projektseite wäre echt gut^^. Das man sich quasi immer die neuster Version herunterladen kann und nicht immer im Thread guggn muss^^.
     
  4. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Wie sieht es mit einer Funktion aus, die nach Succes Keys schaut ?
    Um Fakes vorzubeugen.

    Sonst find ich das Ding garnet schlecht, besonders, da in Java ...

    bb. master80
     
  5. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Du meinst also, dass alle gefundenen Logins nocheinmal getestet werden, ob sie auch wirklich funktionieren? Ist eine gute Idee, schreibe ich mir mal auf
     
  6. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Jop, da die meisten Sites massig an Fakes produzieren, ist das schon sehr wichtig.
    Kannst einfach ja nach bestimmten Sachen im Quellcode der Site suchen lassen.
    Bzw. failure Keys, dass wenn diese vorkommen, der Axx halt nicht als Hit erkannt wird,
    dass ist z.B. gut, wenn man den Success Key, der Site nicht weiß.

    Kannst dir auch gerne mal die gängigsten BrutForcer ansehen ...
    Sentry ...

    Was natürlich noch ne Stufe besser wäre ... ein BruteForcer, der auch FormLogins knackt ...
    Ein Beispiel hierfür ist: Form@

    Und die Krönung wäre dann ein BruteForcer, der OCR's knackt ... aber erstmal kannste ja mal
    SuccesKeys / FailureKeys einbauen, sollte nicht so schwer sein

    Gruß - und mach weiter !

    bb. master80
     
  7. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Soo da ich heute sowieso nichts zu tun hatte, habe ich die Keywords gleich mal realisiert. Allerdings ist das jetzt nicht allzu ausfürhlich getestet worden, falls also jemandem was komisches auffällt, Bescheid sagen

    Ob ich Form-Logins mache weiß ich noch nicht..wenn sich noch mehr dafür ausprechen aber bestimmt
     
  8. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Also Form, wäre wirklich super ...
    Ich werde mal später einen Testlauf machen und das Ergebniss hier posten

    Mach weiter so

    bb. master80
     
  9. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Kanns sein, dass du zweimal die selbe Version hochgeladen hast?^^

    Aber sonst nettes Programm, hab sogar paar Results bekommen, warn zwar paar Fakes dabei,
    aber das sollte sich dann mit Keys beheben lassen.

    Wärs vielleicht noch möglich die Results in der Form
    Content Management System in the Cloud with Site.com
    zu exportieren?

    Mach weiter so, über eine Version mit Formlogin würd ich mich auch freuen. :]
     
  10. 14. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Jop stimmt, ist leider die gleiche Version ... muss er wohl falsch hochgeladen haben ...
    Die Ausgabe in:
    Content Management System in the Cloud with Site.com
    --> wäre super, jedoch als Auswahl, da das nicht
    Site unterstützt.

    bb. master80
     
  11. 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Oh, dumme Sache, ich habe vergessen das Teil zu kompilieren, der Source war sogar der neue

    Naja hab' ich jetzt korrigiert. Das mit der alternativen Ausgabeform ist kein Problem, in der nächsten Version ist das drin
     
  12. 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Super, weiter so ... step by step und es kommt unser neuer SuperBruter raus

    bb. master80
     
  13. 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Soo ich war heute ja super fleißig

    Jedenfalls gibt es jetzt Form-Logins und nen paar kleinere Fixes. Viel Spaß
     
  14. 15. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    wollte gerade das mit den Forms testen nur es hat sich leider nichts getan

    Meine Post-Data: user_id=1&password=${pass}&submit=submit

    Nach einem Klick auf start hängt es kurz und dann tut sich nichts mehr. Es kam keine Fehlermeldung oder sonst iwas.
     
  15. 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Fehler die mir aufgefallen sind:

    - Das Programm speichert die Einstellungen nicht, wäre super, wenn du das noch einbauen
    könntest, denn es ist mühsam, das jedesmal einzustellen.

    - Es hat nichts getan, als ich alles eingetragen habe, habe ich auf START geklickt, habe
    die Combolist vergessen zu laden, hat er super angezeigt, dann jedoch als ich die Combolist,
    hinzugefügt habe, hat er dann nach dem klick auf START nichts gemacht und auch keine
    Meldung mehr ausgegeben, vielleicht kannst du das noch fixen ...

    - Eventuell kannst du noch eine Analyse für die Formfunktion einbauen, ala Form@, wäre hilfreich
    und komfortable

    Sonst, ist es ne schöne Alternative, da in Java, weiter so, mach es stabiler und weiter eine
    erhöhte Funktionsvielfalt und ich denke es wird einen großen Anhang finden

    von mir auch WEITER SO !
     
  16. 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Durchlaufen tuts bei mir schon, aber ich bekomme keine Hits. Auch wenn ich es mit den selben
    Einstellungen, Wordlist, Proxies wie im HTTP Bugger probiere.

    Das wär toll, bin ich auch dafür. :]

    Praktisch wär vielleicht noch eine Option mit der man Proxies gegen eine Seite checken könnte,
    aber das hat ja noch bis zu einer späteren Version Zeit.

    Freu mich schon auf die nächste Version.
     
  17. 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Hm, also nur der Form-Login geht nicht? Oder etwa auch der Basic-Auth? Ansonsten könnt ihr immer im Logfile gucken, da werden auch Debug-Nachrichten angezeigt, vielleicht ist da etwas draus ersichtlich.
    Ich gucke gleich mal drüber, was der Fehler sein könnte.

    Optionen speichern habe ich mir auch schon überlegt, wird sobald ich Zeit habe eingebaut!

    Was meint ihr mit Analyse für die Form-Funktion?

    Kann mir jemand von euch Form@ mal hochladen? Dann kann ich mir nen bisschen was abgucken Habe gerade kurz gegoogelt, finde aber nichts richtiges..

    Update
    ==========
    Ich habe den Form-Login getestet und er sollte nun funktionieren (hoffentlich..^^). Das Problem lag nicht im Algorithmus sondern lediglich an meiner Unfähigkeit die Nummern der Textboxen auseinander zu halten
    Also probierts aus und wenn es Probleme gibt, bitte auch das logfile posten oder wenn ihr das wegen den Logins nicht wollt per PN schicken/zensieren.
     
  18. 16. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Hier der Upload von Form@

    http://rapidshare.com/files/311364827/formfinal.zip

    Freu mich auch schon aufs neue Update !

    Bekomme folgendes:
    Code:
    21:57:12 [EXCEPTION] An unhandled exception occured.
    java.lang.NumberFormatException: Value out of range. Value:"48558" Radix:10
     at java.lang.Short.parseShort(Unknown Source)
     at java.lang.Short.valueOf(Unknown Source)
     at java.lang.Short.valueOf(Unknown Source)
     at brutebeast.ProxyProvider.<init>(ProxyProvider.java:76)
     at brutebeast.View.createProxyProvider(View.java:1074)
     at brutebeast.View.jButton1ActionPerformed(View.java:1145)
     at brutebeast.View.access$200(View.java:47)
     at brutebeast.View$4.actionPerformed(View.java:258)
     at javax.swing.AbstractButton.fireActionPerformed(Unknown Source)
     at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source)
     at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source)
     at javax.swing.DefaultButtonModel.setPressed(Unknown Source)
     at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Unknown Source)
     at java.awt.Component.processMouseEvent(Unknown Source)
     at javax.swing.JComponent.processMouseEvent(Unknown Source)
     at java.awt.Component.processEvent(Unknown Source)
     at java.awt.Container.processEvent(Unknown Source)
     at java.awt.Component.dispatchEventImpl(Unknown Source)
     at java.awt.Container.dispatchEventImpl(Unknown Source)
     at java.awt.Component.dispatchEvent(Unknown Source)
     at java.awt.LightweightDispatcher.retargetMouseEvent(Unknown Source)
     at java.awt.LightweightDispatcher.processMouseEvent(Unknown Source)
     at java.awt.LightweightDispatcher.dispatchEvent(Unknown Source)
     at java.awt.Container.dispatchEventImpl(Unknown Source)
     at java.awt.Window.dispatchEventImpl(Unknown Source)
     at java.awt.Component.dispatchEvent(Unknown Source)
     at java.awt.EventQueue.dispatchEvent(Unknown Source)
     at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source)
     at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source)
     at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source)
     at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
     at java.awt.EventDispatchThread.pumpEvents(Unknown Source)
     at java.awt.EventDispatchThread.run(Unknown Source)
    
    
    bb. master80
     
  19. 17. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Ah, ich weiß woher das kommt. Java kennt keine unsigned Felder, d.h. Zahlen sind immer vorzeichenbehaftet und können daher nur die hälfte des Zahlenbereiches annehmen (einmal neg. + einmal pos.). Daran hatte ich nicht gedacht und geglaubt ein short würde ausreichen.

    Habe jetzt das Feld vergrößert und nun sollte alles funktionieren. Danke auch für den Upload, master80.

    Changelog
    v1.21a
    Fix: internes Port-Feld hat nun korrekte Größe und stürzt daher nicht mehr ab
     
  20. 17. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Also läuft jetzt

    Was noch gut wäre, ein "Tab" mit ner Übersicht, welche Logins gefunden wurden, also im
    Brute-Prozess noch, laufenden betrieb ...

    Ich werde es mal bissl laufen lassen und nen langzeittest machen

    WEITER SO

    bb. master80
     
  21. 18. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Problem bei den Formfeldern:

    Ich habe eine Seite, die nach dem korrekten Login nichts ausgibt. Kein Wort, kein Quelletext, nichts, nur Cookies setzen. Nun hab ich versucht, unter success keys einfach nichts einzugeben, geht nicht. Leertaste würde sogar gehen, allerdings findet natürlich auch jeder falsche Login so eine Übereinstimmung obwohl er beim Failurekeys auch eine Übereinstimmung haben müsste, was anscheint nicht mehr geprüft wird, nachdem man schon beim success eine Übereinstimmung hat.

    Das Problem wäre zu lösen, wen man auch nur Failure Keys eingeben könnte und nicht beide.

    Frage:

    was ist Mutationen?
     
  22. 18. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: BruteBeast (Tool wie AccessDiver)

    Ist gemacht! Mutationen sind Veränderungen der Wörter, wenn du z.B. im Mutation-File folgendes stehen hast:
    Code:
    123
    666
    und im Userfile das hier:
    Code:
    bob
    alice
    würde bei bestimmten Einstellungen das hier abgefragt werden:
    Code:
    bob
    bob123
    bob666
    alice
    alice123
    alice666
    @master80
    Die Logins anzuzeigen habe ich bis jetzt noch nicht einbauen können, kommt aber bestimmt bald. So lange kannst du ja einfach im login-file nachsehen, sie werden sofort nach dem Fund hineingeschrieben.

    Update
    ============
    Changelog
    v1.3
    Neue Proxy-Oberfläche:
    • Laden aus Datei
    • Laden aus Zwischenablage
    • System schließt nicht funktionsfähige Proxies nun für alle folgenden Durchläufe aus
    Proxyliste wird automatisch gespeichert
    Möglichkeit, richtige Form-Logins nur am Fehlen des Failure-Keywords zu erkennen
    Bild

    Weiterhin ist einiges intern geändert worden. Ich hoffe, dass ich keine neuen Bugs erzeugt habe
     
  23. 19. März 2010
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: BruteBeast (Tool wie AccessDiver)

    Neue Version: v1.31

    Changelog
    Mutations-Dateipfad ist standardmäßig leer
    Anzeige von gefundenen Logins während des Brute-Vorgangs
    GUI-Verschönerungen
    Fix: Manche Exceptions wurden als "No proxy left but usage is enforced." angezeigt, obwohl es andere waren

    No File | xup.in

    Viel Spaß damit!
     
  24. 19. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Respekt, wird ja immer besser!

    Drei Kleinigkeiten die mir noch auf die Schnelle aufgefallen sind:

    • wie wärs mit einer Anzeige wieviel Proxys noch nutzbar sind? Evtl auch eine Anzeige Cracks pro Sekunde?
    • wär cool, wenn er beim Auswählen von Combolist/Proxylist nicht immer in die Eigenen Dateien
      springen würde, sondern im Root Ordner bleiben würde
    • und wenn unterm Cracken die gefundenen Logins entweder direkt aufrufbar wären oder er sie
      gleich in die found_logins schieben würde

    Aber sonst top!
     
  25. 20. März 2010
    AW: BruteBeast (Tool wie AccessDiver)

    Wirklich großes Lob an dich !
    Die Updates kommen schnell und setzen genau um, was man sich vorstellt.
    Das Programm lief beim Test gut durch, habe mit meiner Wordlist viele Hits gehabt.
    Ich werde heute Nacht mal die neue Version durchlaufen lassen und eventuell noch
    Formbrute-Test hinterherhängen.

    Das Programm wird immer besser !
    Soll dir auch nen Lob von 2 Bekannten von mir ausrichten, die Usen das Beast nun auch !

    bb. master80
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.