#1 14. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 BruteBeast (Tool wie AccessDiver) BruteBeast NEUSTE VERSION: 1.4 Beschreibung Ein Tool ähnlich AccessDiver, also für Dictionary-Attacks auf Webseiten. Natürlich nur auf Seiten, die euch gehören oder bei Pentests Features Combolists oder User+Passlists Mutationen Multi-Threaded Proxy Unterstützung Basic Authentification Detaillierte Konfiguration (z.B. Timeouts, Delays zwischen Requests) Anti-Username/IP-Ban Failure&Success Keywords (v1.1) Verschiedene Ausgabeformate (v1.11) Form-based Logins (v1.2) Speichern der Konfiguration (v1.21) Statistiken (v1.32) User-Agent wählbar (v1.33) FormAnalyzer (v1.4) Screenshots Spoiler Download BruteBeast v1.4 Binaries BruteBeast v1.0 Source (Lizensiert unter GPL) Spoiler Ältere Versionen BruteBeast v1.36 Binaries BruteBeast v1.35b Binaries BruteBeast v1.35a Binaries BruteBeast v1.35 Binaries BruteBeast v1.34 Binaries BruteBeast v1.33a Binaries BruteBeast v1.33 Binaries BruteBeast v1.32 Binaries BruteBeast v1.31 Binaries BruteBeast v1.3 Binaries BruteBeast v1.21a Binaries BruteBeast v1.21 Binaries BruteBeast v1.2 Binaries BruteBeast v1.11 Binaries BruteBeast v1.1 Binaries BruteBeast v1.0 Binaries BruteBeast v1.0 Source (Lizensiert unter GPL) Changelog Ich würde mich über Kritik, Vorschläge und/oder Kommentare sehr freuen! + Multi-Zitat Zitieren
#2 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Danke, ich habe es getestet, es funktioniert 1A! BW haste ); mfg + Multi-Zitat Zitieren
#3 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Finde dein Tool auch Klasse. Was mir besonders daran gefällt ist das die Bedinung sehr einfach ist und der Funktionsumfang nicht so überladen wie AccessDiver . Ne Projektseite wäre echt gut^^. Das man sich quasi immer die neuster Version herunterladen kann und nicht immer im Thread guggn muss^^. + Multi-Zitat Zitieren
#4 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Wie sieht es mit einer Funktion aus, die nach Succes Keys schaut ? Um Fakes vorzubeugen. Sonst find ich das Ding garnet schlecht, besonders, da in Java ... bb. master80 + Multi-Zitat Zitieren
#5 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Du meinst also, dass alle gefundenen Logins nocheinmal getestet werden, ob sie auch wirklich funktionieren? Ist eine gute Idee, schreibe ich mir mal auf + Multi-Zitat Zitieren
#6 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Jop, da die meisten Sites massig an Fakes produzieren, ist das schon sehr wichtig. Kannst einfach ja nach bestimmten Sachen im Quellcode der Site suchen lassen. Bzw. failure Keys, dass wenn diese vorkommen, der Axx halt nicht als Hit erkannt wird, dass ist z.B. gut, wenn man den Success Key, der Site nicht weiß. Kannst dir auch gerne mal die gängigsten BrutForcer ansehen ... Sentry ... Was natürlich noch ne Stufe besser wäre ... ein BruteForcer, der auch FormLogins knackt ... Ein Beispiel hierfür ist: Form@ Und die Krönung wäre dann ein BruteForcer, der OCR's knackt ... aber erstmal kannste ja mal SuccesKeys / FailureKeys einbauen, sollte nicht so schwer sein Gruß - und mach weiter ! bb. master80 + Multi-Zitat Zitieren
#7 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Soo da ich heute sowieso nichts zu tun hatte, habe ich die Keywords gleich mal realisiert. Allerdings ist das jetzt nicht allzu ausfürhlich getestet worden, falls also jemandem was komisches auffällt, Bescheid sagen Ob ich Form-Logins mache weiß ich noch nicht..wenn sich noch mehr dafür ausprechen aber bestimmt + Multi-Zitat Zitieren
#8 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Also Form, wäre wirklich super ... Ich werde mal später einen Testlauf machen und das Ergebniss hier posten Mach weiter so bb. master80 + Multi-Zitat Zitieren
#9 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Kanns sein, dass du zweimal die selbe Version hochgeladen hast?^^ Aber sonst nettes Programm, hab sogar paar Results bekommen, warn zwar paar Fakes dabei, aber das sollte sich dann mit Keys beheben lassen. Wärs vielleicht noch möglich die Results in der Form Content Management System in the Cloud with Site.com zu exportieren? Mach weiter so, über eine Version mit Formlogin würd ich mich auch freuen. :] + Multi-Zitat Zitieren
#10 14. März 2010 AW: BruteBeast (Tool wie AccessDiver) Jop stimmt, ist leider die gleiche Version ... muss er wohl falsch hochgeladen haben ... Die Ausgabe in: Content Management System in the Cloud with Site.com --> wäre super, jedoch als Auswahl, da das nicht Site unterstützt. bb. master80 + Multi-Zitat Zitieren
#11 15. März 2010 AW: BruteBeast (Tool wie AccessDiver) Oh, dumme Sache, ich habe vergessen das Teil zu kompilieren, der Source war sogar der neue Naja hab' ich jetzt korrigiert. Das mit der alternativen Ausgabeform ist kein Problem, in der nächsten Version ist das drin + Multi-Zitat Zitieren
#12 15. März 2010 AW: BruteBeast (Tool wie AccessDiver) Super, weiter so ... step by step und es kommt unser neuer SuperBruter raus bb. master80 + Multi-Zitat Zitieren
#13 15. März 2010 AW: BruteBeast (Tool wie AccessDiver) Soo ich war heute ja super fleißig Jedenfalls gibt es jetzt Form-Logins und nen paar kleinere Fixes. Viel Spaß + Multi-Zitat Zitieren
#14 15. März 2010 AW: BruteBeast (Tool wie AccessDiver) wollte gerade das mit den Forms testen nur es hat sich leider nichts getan Meine Post-Data: user_id=1&password=${pass}&submit=submit Nach einem Klick auf start hängt es kurz und dann tut sich nichts mehr. Es kam keine Fehlermeldung oder sonst iwas. + Multi-Zitat Zitieren
#15 16. März 2010 AW: BruteBeast (Tool wie AccessDiver) Fehler die mir aufgefallen sind: - Das Programm speichert die Einstellungen nicht, wäre super, wenn du das noch einbauen könntest, denn es ist mühsam, das jedesmal einzustellen. - Es hat nichts getan, als ich alles eingetragen habe, habe ich auf START geklickt, habe die Combolist vergessen zu laden, hat er super angezeigt, dann jedoch als ich die Combolist, hinzugefügt habe, hat er dann nach dem klick auf START nichts gemacht und auch keine Meldung mehr ausgegeben, vielleicht kannst du das noch fixen ... - Eventuell kannst du noch eine Analyse für die Formfunktion einbauen, ala Form@, wäre hilfreich und komfortable Sonst, ist es ne schöne Alternative, da in Java, weiter so, mach es stabiler und weiter eine erhöhte Funktionsvielfalt und ich denke es wird einen großen Anhang finden von mir auch WEITER SO ! + Multi-Zitat Zitieren
#16 16. März 2010 AW: BruteBeast (Tool wie AccessDiver) Durchlaufen tuts bei mir schon, aber ich bekomme keine Hits. Auch wenn ich es mit den selben Einstellungen, Wordlist, Proxies wie im HTTP Bugger probiere. Das wär toll, bin ich auch dafür. :] Praktisch wär vielleicht noch eine Option mit der man Proxies gegen eine Seite checken könnte, aber das hat ja noch bis zu einer späteren Version Zeit. Freu mich schon auf die nächste Version. + Multi-Zitat Zitieren
#17 16. März 2010 AW: BruteBeast (Tool wie AccessDiver) Hm, also nur der Form-Login geht nicht? Oder etwa auch der Basic-Auth? Ansonsten könnt ihr immer im Logfile gucken, da werden auch Debug-Nachrichten angezeigt, vielleicht ist da etwas draus ersichtlich. Ich gucke gleich mal drüber, was der Fehler sein könnte. Optionen speichern habe ich mir auch schon überlegt, wird sobald ich Zeit habe eingebaut! Was meint ihr mit Analyse für die Form-Funktion? Kann mir jemand von euch Form@ mal hochladen? Dann kann ich mir nen bisschen was abgucken Habe gerade kurz gegoogelt, finde aber nichts richtiges.. Update ========== Ich habe den Form-Login getestet und er sollte nun funktionieren (hoffentlich..^^). Das Problem lag nicht im Algorithmus sondern lediglich an meiner Unfähigkeit die Nummern der Textboxen auseinander zu halten Also probierts aus und wenn es Probleme gibt, bitte auch das logfile posten oder wenn ihr das wegen den Logins nicht wollt per PN schicken/zensieren. + Multi-Zitat Zitieren
#18 16. März 2010 AW: BruteBeast (Tool wie AccessDiver) Hier der Upload von Form@ http://rapidshare.com/files/311364827/formfinal.zip Freu mich auch schon aufs neue Update ! Bekomme folgendes: Code: 21:57:12 [EXCEPTION] An unhandled exception occured. java.lang.NumberFormatException: Value out of range. Value:"48558" Radix:10 at java.lang.Short.parseShort(Unknown Source) at java.lang.Short.valueOf(Unknown Source) at java.lang.Short.valueOf(Unknown Source) at brutebeast.ProxyProvider.<init>(ProxyProvider.java:76) at brutebeast.View.createProxyProvider(View.java:1074) at brutebeast.View.jButton1ActionPerformed(View.java:1145) at brutebeast.View.access$200(View.java:47) at brutebeast.View$4.actionPerformed(View.java:258) at javax.swing.AbstractButton.fireActionPerformed(Unknown Source) at javax.swing.AbstractButton$Handler.actionPerformed(Unknown Source) at javax.swing.DefaultButtonModel.fireActionPerformed(Unknown Source) at javax.swing.DefaultButtonModel.setPressed(Unknown Source) at javax.swing.plaf.basic.BasicButtonListener.mouseReleased(Unknown Source) at java.awt.Component.processMouseEvent(Unknown Source) at javax.swing.JComponent.processMouseEvent(Unknown Source) at java.awt.Component.processEvent(Unknown Source) at java.awt.Container.processEvent(Unknown Source) at java.awt.Component.dispatchEventImpl(Unknown Source) at java.awt.Container.dispatchEventImpl(Unknown Source) at java.awt.Component.dispatchEvent(Unknown Source) at java.awt.LightweightDispatcher.retargetMouseEvent(Unknown Source) at java.awt.LightweightDispatcher.processMouseEvent(Unknown Source) at java.awt.LightweightDispatcher.dispatchEvent(Unknown Source) at java.awt.Container.dispatchEventImpl(Unknown Source) at java.awt.Window.dispatchEventImpl(Unknown Source) at java.awt.Component.dispatchEvent(Unknown Source) at java.awt.EventQueue.dispatchEvent(Unknown Source) at java.awt.EventDispatchThread.pumpOneEventForFilters(Unknown Source) at java.awt.EventDispatchThread.pumpEventsForFilter(Unknown Source) at java.awt.EventDispatchThread.pumpEventsForHierarchy(Unknown Source) at java.awt.EventDispatchThread.pumpEvents(Unknown Source) at java.awt.EventDispatchThread.pumpEvents(Unknown Source) at java.awt.EventDispatchThread.run(Unknown Source) bb. master80 + Multi-Zitat Zitieren
#19 17. März 2010 AW: BruteBeast (Tool wie AccessDiver) Ah, ich weiß woher das kommt. Java kennt keine unsigned Felder, d.h. Zahlen sind immer vorzeichenbehaftet und können daher nur die hälfte des Zahlenbereiches annehmen (einmal neg. + einmal pos.). Daran hatte ich nicht gedacht und geglaubt ein short würde ausreichen. Habe jetzt das Feld vergrößert und nun sollte alles funktionieren. Danke auch für den Upload, master80. Changelog v1.21a Fix: internes Port-Feld hat nun korrekte Größe und stürzt daher nicht mehr ab + Multi-Zitat Zitieren
#20 17. März 2010 AW: BruteBeast (Tool wie AccessDiver) Also läuft jetzt Was noch gut wäre, ein "Tab" mit ner Übersicht, welche Logins gefunden wurden, also im Brute-Prozess noch, laufenden betrieb ... Ich werde es mal bissl laufen lassen und nen langzeittest machen WEITER SO bb. master80 + Multi-Zitat Zitieren
#21 18. März 2010 AW: BruteBeast (Tool wie AccessDiver) Problem bei den Formfeldern: Ich habe eine Seite, die nach dem korrekten Login nichts ausgibt. Kein Wort, kein Quelletext, nichts, nur Cookies setzen. Nun hab ich versucht, unter success keys einfach nichts einzugeben, geht nicht. Leertaste würde sogar gehen, allerdings findet natürlich auch jeder falsche Login so eine Übereinstimmung obwohl er beim Failurekeys auch eine Übereinstimmung haben müsste, was anscheint nicht mehr geprüft wird, nachdem man schon beim success eine Übereinstimmung hat. Das Problem wäre zu lösen, wen man auch nur Failure Keys eingeben könnte und nicht beide. Frage: was ist Mutationen? + Multi-Zitat Zitieren
#22 18. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Ist gemacht! Mutationen sind Veränderungen der Wörter, wenn du z.B. im Mutation-File folgendes stehen hast: Code: 123 666 und im Userfile das hier: Code: bob alice würde bei bestimmten Einstellungen das hier abgefragt werden: Code: bob bob123 bob666 alice alice123 alice666 @master80 Die Logins anzuzeigen habe ich bis jetzt noch nicht einbauen können, kommt aber bestimmt bald. So lange kannst du ja einfach im login-file nachsehen, sie werden sofort nach dem Fund hineingeschrieben. Update ============ Changelog v1.3 Neue Proxy-Oberfläche: Laden aus Datei Laden aus Zwischenablage System schließt nicht funktionsfähige Proxies nun für alle folgenden Durchläufe aus Proxyliste wird automatisch gespeichert Möglichkeit, richtige Form-Logins nur am Fehlen des Failure-Keywords zu erkennen Weiterhin ist einiges intern geändert worden. Ich hoffe, dass ich keine neuen Bugs erzeugt habe + Multi-Zitat Zitieren
#23 19. März 2010 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: BruteBeast (Tool wie AccessDiver) Neue Version: v1.31 Changelog Mutations-Dateipfad ist standardmäßig leer Anzeige von gefundenen Logins während des Brute-Vorgangs GUI-Verschönerungen Fix: Manche Exceptions wurden als "No proxy left but usage is enforced." angezeigt, obwohl es andere waren No File | xup.in Viel Spaß damit! + Multi-Zitat Zitieren
#24 19. März 2010 AW: BruteBeast (Tool wie AccessDiver) Respekt, wird ja immer besser! Drei Kleinigkeiten die mir noch auf die Schnelle aufgefallen sind: wie wärs mit einer Anzeige wieviel Proxys noch nutzbar sind? Evtl auch eine Anzeige Cracks pro Sekunde? wär cool, wenn er beim Auswählen von Combolist/Proxylist nicht immer in die Eigenen Dateien springen würde, sondern im Root Ordner bleiben würde und wenn unterm Cracken die gefundenen Logins entweder direkt aufrufbar wären oder er sie gleich in die found_logins schieben würde Aber sonst top! + Multi-Zitat Zitieren
#25 20. März 2010 AW: BruteBeast (Tool wie AccessDiver) Wirklich großes Lob an dich ! Die Updates kommen schnell und setzen genau um, was man sich vorstellt. Das Programm lief beim Test gut durch, habe mit meiner Wordlist viele Hits gehabt. Ich werde heute Nacht mal die neue Version durchlaufen lassen und eventuell noch Formbrute-Test hinterherhängen. Das Programm wird immer besser ! Soll dir auch nen Lob von 2 Bekannten von mir ausrichten, die Usen das Beast nun auch ! bb. master80 + Multi-Zitat Zitieren