Мануал по бруту аккаунтов

Здравствуйте дорогие пользователи данного форума.

В данной теме я хочу поведать вам об основах брута почт.
Что такое брут и с чем его едят, вы можете ознакомиться в данной теме.

Начнём с подготовки материалов.

1-м шагом будет являться поиск хороших прокси, которые помогут нам обходить различные блокировки по времени, капчи и тому подобное. Существует несколько типов прокси, но я советую использовать “socks5”. Найти их можно на различных форумах, сайтах, раздачах или добыть грабберрами.
2-м шагом нам потребуется найти базу (почт/паролей) для брута. Данный материал можно также найти на различных форумах, раздачах и сайтах. Также некоторые используют парсеры файлообменников для поиска баз. Я вам оставлю несколько таких баз.
3-м шагом нам предстоит выбрать программу для брута баз, которая взламывают логин и пароль с помощью подбора всех теоретически возможных комбинаций. Про самые выделяющиеся я расскажу ниже.

И так приступим.

Как я уже сказал выше, нам нужны прокси.
Для их добычи я пользуюсь некоторыми сайтами, вот некоторые из них:

(не реклама)

(не реклама)
Так же зачастую я обращаюсь к грабберу для получения прокси, в данном случает это будет Proxy Tools by Darkness. В данной программе мы можем получить лист прокси (справа нажимаем галочку “Socks” затем “Grab”, добываем около 3000 и нажимаем “Stop” затем сохраняем файл в удобное для нас место нажимая “Save”).
Затем нам нужно проверить прокси на валидность, сущесвует множество программ, но я воспользуюсь сайтом

(не реклама) (в пустое окно вставляем наши прокси, затем ставим галочку “Do not publish my proxies” затем нажимаем кнопку “CHECK LIST”.
Сохраняем валидные прокси, которые нам скоро понадобятся.
Теперь мы нуждаемся в базе. Существует несколько типов баз, вот несколько из них:
MYR — база с русскими почтами. (mail.ru; yandex.ru; rambler.ru и т.д.)
Zabugor — база с зарубежными почтами. (interia.pl; orange.fr; gmx.de и т.д.)
MIX — смешанные базы со всех стран.

Последним шагом будет являться брутфорс найденных нами баз.

В данной статье я опишу данный метод на примере программы All-In-One Checker (

|

)
Заходим в программу добавляем базу и прокси (нажимаем “прокси” ставим галочку на пункте “Из файла” затем выбираем наш лист валидных прокси путём нажатия кнопки с тремя точками, sне забываем указать тип прокси “Socks5”. Далее нажимаем “Подтвердить”.
Выставляем все настройки, как на

. По вашему желанию добавляем фильтр писем по определённым отправителям(steampowered.com; em.ea.com; worldoftanks.ru; vk.com и т.д.) Для этого нам нужно нажать на галочку искать в письмах и выбрать необходимые параметры. Набираемся терпения и нажимаем на кнопку “Старт”.
И вот мы на финишной прямой. Валидные аккаунты мы получим рядом с программой в папке “Results”. Теперь нам осталось заходить на данные аккаунты почт и забирать то, что мы искали.
Но для того, чтобы ускорить этот процесс я использую программу

Нажимаем кнопку “Электронная почта”, в открывшемся окне нажимаем “Пропустить это и использовать мою существующую почту”. Вводим любое имя, затем логин почты и пароль. И теперь мы можем спокойно пользоваться данной почтой.
Ну вот мой гайд подошёл к концу, надеюсь он был полезен и в будущем, когда вас спросят “А как брутить аккаунты?”, вы спокойно сможете отправить ссылку на данную тему.

И в завершении я дам вам несколько баз для практики:

Время на прочтение
6 мин

Количество просмотров 123K

Brute-force (атака полным перебором) – метод решения математических задач, сложность которого зависит от количества всех возможных решений. Сам же термин brute-force обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису.

Рассмотрим инструменты, которые можно использовать для выполнения brute-force атак на SSH и WEB-сервисы, доступные в Kali Linux (Patator, Medusa, Hydra, Metasploit), а также BurpSuite.

Все материалы, предоставленные в рамках данной статьи, предназначены для использования исключительно в учебных целях. Использование материалов в противоправных и противозаконных запрещено.

Brute-force SSH

Для примера возьмем тестовую машину 192.168.60.50 и попробуем подобрать пароль пользователя test по SSH. Мы будем использовать популярные пароли из стандартного словаря rockyou.txt.

---

Patator
Для подбора пароля средствами Patator используем команду:

patator ssh_login host=192.168.60.50 user=test password=FILE0 0=/root/wordlist -x ignore:mesg=’Authentication failed’

где:
ssh_login — необходимый модуль
host – наша цель
user – логин пользователя, к которому подбирается пароль или файл с логинами для множественного подбора
password – словарь с паролями
-x ignore:mesg=’Authentication failed’ — команда не выводить на экран строку, имеющую данное сообщение. Параметр фильтрации подбирается индивидуально.

---

Hydra
Для подбора пароля используя Hydra выполним команду:

hydra -V -f -t 4 -l test -P /root/wordlist ssh://192.168.60.50

где:
-V – показывать пару логин+пароль во время перебора
-f – остановка как только будет найден пароль для указанного логина
-P – путь до словаря с паролями
ssh://192.168.60.50 – указание сервиса и IP-адрес жертвы

---

Medusa
Для подбора пароля с использованием Medusa выполним команду:

medusa -h 192.168.60.50 -u test -P /root/wordlist -M ssh -f -v 6

где:
-h – IP-адрес жертвы
-u – логин
-P – путь к словарю
-M – выбор модуля
-f – остановка после нахождения валидной пары логин/пароль
-v – настройка отображения сообщений на экране во время процесса подбора

---

Metasploit
Произведем поиск инструмента для проведения brute-force атаки по SSH:
search ssh_login и получили ответ:

Задействуем модуль:

use auxiliary/scanner/ssh/ssh_login

Для просмотра необходимых параметров, воспользуемся командой show options. Для нас это:
rhosts – IP-адрес жертвы
rport – порт
username – логин SSH
userpass_file – путь до словаря
stop_on_success – остановка, как только найдется пара логин/пароль
threads – количество потоков

Указание необходимых параметров производится через команду «set«.

set rhosts 192.168.60.50
set username test
set userpass_file /root/wordlist
set stop_on_success yes
set threads 4
set rport 22

Указав необходимые параметры набираем команду «run» и ждем.

Противодействие

Ограничить количество устанавливаемых соединений с использованием межсетевого экрана. Пример настройки iptables:

-A INPUT -i eth0 -p tcp --dport 22 -m connlimit --connlimit-above 1 --connlimit-mask 32 -j REJECT --reject-with tcp-reset.

Такое правило установит ограничение доступа к SSH для каждого IP-адреса до 1 соединения в секунду, значительно усложнив перебор. Также эффективным решением может быть использование двухфакторной аутентификации (например, используя eToken) или аутентификации с использованием ключевой пары, а также использование ACL на основе IP-адресов.

Brute-force WordPress

Рассмотрим другой пример — подбор пароля окна авторизации веб-формы.

Для примера будем подбирать пароль от учетной записи администратора wordpress.

---

BurpSuite
Для начала нам необходимо понять, как происходит процесс авторизации. Для этого мы будем использовать BurpSuite. Нам необходимо попробовать авторизоваться с любым паролем и логином, чтобы посмотреть какие запросы проходят через BurpSuite.

Отлично, мы увидели POST запрос для авторизации с ним мы и будем работать.
В BODY указано какой логин и пароль проверялись, а значит, мы можем попробовать самостоятельно подставить нужные нам значения.
Передаем этот запрос в Intruder и там выбираем необходимые параметры для атаки. В пункте Payload Positions тип атаки оставляем sniper, но для проверки оставляем только параметр pwd. Таким образом, при атаке будет изменяться только этот параметр.

Загружаем необходимый словарь и начинаем атаку.

Из поведения веб-приложения мы видим, что неверный пароль возвращает код ответа 200. После перебора словаря, видим, что один из паролей дал ответ с кодом 302 — он и является верным.

Данный метод перебора занимает намного больше времени, чем при использовании Patator, Hydra, Medusa и т.д. Даже с учетом того, что мы взяли небольшой словарь, BurpSuite перебирал словарь около 40 минут.

---

Hydra
Попробуем подобрать пароль с помощью Hydra.
Как мы уже знаем, при неверной авторизации возвращается код 200, а при успешной – 302. Попробуем использовать эту информацию.
Для запуска используем команду:

hydra -V -f -l admin -P /root/wordlist -t 4 http-post-form://192.168.60.50 -m "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.60.50%2Fwp-admin%2F&testcookie=1:S=302"

Здесь мы указываем обязательные параметры:
-l – имя пользователя
-P – словарь с паролями
-t – количество потоков
http-post-form – тип формы, у нас POST.
/wp-login.php – это URL страницы с авторизацией
^USER^ — показывает куда подставлять имя пользователя
^PASS^ — показывает куда подставлять пароль из словаря
S=302 – указание на какой ответ опираться Hydra. В нашем случае, ответ 302 при успешной авторизации.

---

Patator
Как мы уже знаем, при неудачной авторизации возвращается код 200, а при удачной – 302. Будем использовать тот же принцип, что и с Hydra:
Запуск производится командой:

patator http_fuzz url=http://192.168.60.50/wp-login.php method=POST body='log=admin&pwd=FILE0&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.60.50%2Fwp-admin%2F&testcookie=1' 0=/root/wordlist -t 4 before_urls=http://192.168.60.50/wp-login.php -x ignore:code=200 accept_cookie=1

http_fuzz – модуль для brute-force атаки http
url – адрес страницы с авторизацией
FILE0 — путь до словаря с паролями
body – информация, которая передается в POST запросе при авторизации
-t — количество потоков
-x – В данном случае мы указали команду не выводить на экран сообщения строки, содержащие параметр с кодом 200
accept_cookie – сохранение параметра cookie и передачи его в следующий запрос
Как итог – нам удалось подобрать пароль.

---

Nmap
Утилита Nmap позволяет в том числе производить подбор паролей для веб-форм авторизации, если использовать скрипт http-wordpress-brute с соответствующими аргументами:
—script-args – добавление аргументов
user или userdb – логин или файла с логинами
pass или passdb — указание пароля или словаря
thread – количество потоков
firstonly=true – выводить результат после первого же правильного пароля

nmap 192.168.60.50 --script http-wordpress-brute --script-args 'user= admin,passdb= /root/wordlist, http-wordpress-brute.thread=3, brute.firstonly=true'

Противодействие

Ограничить (усложнить) brute-force атаки на web-приложения можно средствами iptables (по аналогии с SSH) и средствами nginx. Для этого необходимо создать зону лимитов:
...
limit_req_zone $binary_remote_addr zone=req_limits:10m rate=30r/s;
...

и задействовать ее:
location / {
...
limit_req zone=req_limits burst=10;
limit_req_status 429;
...
}

Такие настройки позволят ограничить количество запросов с одного IP-адреса до 40 в секунду.

Усложнить задачу перебора можно используя следующие методы:
— Применение межсетевого экрана и прочего ПО для ограничения количества обращений к защищаемому сервису. О том, как мы используем машинное обучение для выявления подобных атак (в том числе распределенных), можно почитать в статье.
— Использование средств, препятствующих быстрой проверке корректности ключа (например, Captcha).

Заключение

В данной статье мы поверхностно рассмотрели некоторые популярные инструменты. Сократить риск подбора пароля можно, следуя следующим рекомендациям:
— используйте устойчивые к подбору пароли;
— не создавайте пароли, используя личную информацию, например: дату рождения или имя + дата рождения или мобильный телефон;
— регулярно меняйте пароль;
— на всех аккаунтах применяйте уникальные пароли.

Подобные рекомендации (как и рекомендации по безопасной веб-разработке) мало кто соблюдает, поэтому необходимо использовать различные программные решения, позволяющие:
— ограничить подключение по IP-адресу, или, если это невозможно, ограничить одновременное количество соединений с сервисом (средствами iptables, nginx и прочими);
— использовать двухфакторную аутентификацию;
— выявлять и блокировать подобные атаки средствами SIEM, WAF или другими (например, fail2ban).

Вы наверняка замечали, что некоторые сайты во время регистрации просят сделать пароль посложнее: то чисел насыпать, то букв, то ещё каких-нибудь символов. Зачем это нужно? Ведь и так никто никогда не узнает, что вы там зашифровали кличку собаки троюродной тёти первой школьной любви.

Ответ: человеку, возможно, угадать ваш пароль не удастся — но машина простым перебором может сделать это за пару часов. Такой способ кражи паролей в кибербезе называется брутфорсом — о нём-то мы и поговорим сегодня.

Брутфорс (brute-force), или атака полным перебором, — это метод взлома, при котором хакер подбирает разные варианты логинов, паролей и ключей шифрования. Цель — войти в систему или получить доступ к защищённым данным.

Но брутфорс — это отнюдь не всегда плохо. Такие атаки проводят специалисты по кибербезопасности и «белые» хакеры, чтобы испытать программу на прочность и найти уязвимости. Это своего рода испытание огнём для любой системы защиты: чтобы считаться надёжной, она должна выдерживать атаки полным перебором.

А ещё с помощью брутфорса удалось разгадать шифр машины «Энигма», которую немецкая армия использовала для передачи секретных сообщений. О том, как это сделали и как в этом помог Алан Тьюринг, читайте в нашей статье. Ну а мы едем дальше.

Brute-force переводится с английского как «грубая сила». Смысл этой атаки в том, чтобы перебрать все возможные варианты, пока один из них не окажется верным. Хакеры не пытаются найти тонкий подход к жертве, как, например, при фишинге, — только перебор, только хардкор.

Естественно, всё это делается не вручную, а с помощью специальных хакерских программ. Причём многие из них вполне легальны, потому что ими пользуются специалисты по информационной безопасности. Запущенные на хорошем «железе», такие программы способны подбирать миллиарды комбинаций в секунду — то есть у паролей вроде «kotbarsik» и «123456» просто нет шансов не быть раскрытыми.

Чтобы ускорить атаку, хакеры могут подключать дополнительные вычислительные мощности: арендуют облачные серверы и используют ботнеты.

Не все брутфорс-атаки одинаковые. В одних хакеры перебирают случайные символы, в других — наиболее частые пароли, в третьих — комбинируют эти два способа. Вот как работают разные виды брутфорса.

Классический метод брутфорса: хакер пробует все возможные комбинации символов, пока не попадётся подходящая.

Как защититься: используйте длинные пароли (от восьми символов) с буквами в верхнем и нижнем регистре, цифры и спецсимволы.

Идея та же, что и в предыдущем методе, только вместо случайных символов подставляются реально существующие фразы из словаря. Это могут быть имена, города, предметы, цитаты из Библии, строки из Шекспира — что угодно. И, конечно, таким способом украсть пароль гораздо проще.

Смотрите, у пароля из восьми случайных латинских символов в нижнем регистре есть 26⁸ возможных комбинаций — это больше 200 триллионов вариантов. Если пробовать по одному в секунду, то для перебора всех комбинаций понадобится 6600 лет.

А, например, в Оксфордском словаре — всего 171 тысяча слов, и перебрать их можно гораздо быстрее. При одной попытке в секунду — чуть меньше чем за два дня.

В современных словарях для взлома хранятся самые распространённые пароли, а также те, которые утекли в Сеть и попали в базы данных злоумышленников.

Как защититься: не используйте реально существующие слова и словосочетания — или хотя бы разбавляйте их выдуманными. Почитать о том, как не надо составлять пароли, чтобы их не украли, можно в этой статье на «Хабре».

Некоторые пользователи, которые что-то слышали о брутфорсе, добавляют к обычным словам несколько символов — например, важную для них дату, возраст или что-то ещё. Мол, теперь-то уж точно хакерская рука окаянная до меня не достанет.

Но такие пароли тоже довольно просто раскрыть — с помощью гибридной атаки. Это когда к реальному слову из словаря добавляют несколько случайных символов, которые получают, опять же, методом перебора.

Как защититься: используйте более сложные комбинации, чем пара «слово + число». Например, добавляйте цифры в середине слова, разбавляйте всё это разными звёздочками и слешами, и будет вам счастье

Метод для тех хакеров, которым не принципиально, кого именно взламывать.

Если в классическом брутфорсе для одного логина перебирают множество паролей, то при обратных атаках один пароль применяют сразу к большому количеству логинов.

Как защититься: не используйте простые или популярные пароли, ведь именно их хакеры обычно подставляют во время обратных атак.

При персональном взломе подключается социальная инженерия. Хакер составляет отдельный словарь для каждой жертвы, куда могут входить имена родственников, друзей, питомцев, важные даты, профессия, хобби и так далее. Для этого хакер может брать информацию из соцсетей или даже сблизиться с жертвой через общих знакомых.

Как защититься: не оставляйте пароли «на видном» месте и не используйте в них личную информацию. И вообще, цифровая гигиена — наше всё. Чем меньше о нас знают соцсети и разные сервисы, тем лучше.

Этот метод используют, если узнают логин и пароль пользователя от какого-нибудь приложения или сайта. Хакер подставляет скомпрометированные учётные данные в разных сервисах. Если жертва использовала их ещё в каком-то месте, то злоумышленник попадает в её аккаунт.

Как защититься: посмотрите, нет ли вашей почты или пароля в списках утечек, — сделать это можно здесь и здесь. Если пользуетесь Google Chrome, посмотреть раскрытые данные можно в менеджере паролей.

Его применяют, если злоумышленник уже получил доступ к электронной почте жертвы. Многие сервисы сами генерируют пароли и высылают на почту пользователям. Хакеры находят такие письма, извлекают из них учётные данные и используют для взлома.

Как защититься: самостоятельно устанавливайте пароли от всех важных аккаунтов. А ещё — регулярно обновляйте пароль от электронной почты, куда ж без этого.

Этот метод применяют хакеры после того, как получают доступ к базе данных паролей — они обычно хранятся в захешированном виде.

Хеш-функция — это алгоритм, который необратимо шифрует данные. Он получает на вход сообщение и выводит его хеш — строку фиксированной длины. Строка состоит из набора букв и цифр, который чётко соответствует входному сообщению:

• Если два раза захешировать одно и то же сообщение, хеш получится одинаковый.
• Если изменить в сообщении хотя бы одну букву, то хеш получится совершенно другой.

Получив доступ к базе хешей и зная алгоритм хеширования, злоумышленник может по очереди хешировать разные варианты паролей — перебором, по словарю или гибридно. Затем он ищет совпадающие хеши и смотрит, из каких входных данных получил их — это и есть найденные пароли.

Чтобы из раза в раз не хешировать заново одно и то же, хакеры создают радужные таблицы — специальные словари, которые содержат не сами пароли, а их хеши.

Как защититься: если вы пользователь — практически никак. Хешированные базы паролей утекают в Сеть регулярно, и это уже наша реальность. Например, недавно это коснулось клиентов «Сбера».

Но для владельцев сервисов есть выход: например, использовать соли — дополнительные строки данных, которые хешируются вместе с паролем. А ещё — использовать современные протоколы шифрования.

Скорость перебора комбинаций брутфорсом — запредельная. В 2018 году компьютер с графическим процессором RTX 2080 за одну секунду перебрал 37 миллиардов паролей, захешированных алгоритмом MD5. А более современные RTX 3090 и RTX 4090 позволяют перебирать и того больше: 70 и 164 миллиарда комбинаций соответственно.

Лучший способ защититься от брутфорса — использовать надёжные пароли. Компания по кибербезопасности Hive Systems ежегодно составляет таблицу времени, нужного на взлом паролей разной сложности.

Предполагается, что указанные в таблице данные актуальны, если взлом осуществляют методом перебора символов. Атака по словарю будет происходить значительно быстрее, но она не сработает, если пароля в словаре нет.

Помимо сложных паролей защитить себя от брутфорса можно следующими способами:

• Использовать разные пароли для разных сервисов. Единожды взломанный пароль перестаёт быть безопасным, каким бы сложным он ни был. Чтобы не забывать, можно использовать менеджер паролей в браузере.
• Регулярно менять пароли. Вы не можете знать, в какой момент ваш пароль мог быть скомпрометирован.
• Использовать двухфакторную аутентификацию. Тогда для входа в аккаунт одного пароля будет недостаточно — понадобится дополнительное подтверждение личности, например, с помощью SMS или биометрии.

Владельцы сервисов заинтересованы в безопасности пользователей, да и своих аккаунтов с правами администраторов тоже. Вот какие меры защиты от брутфорс-атак они внедряют:

• Настраивают требования к сложности паролей. Например, чтобы он обязательно содержал числа, буквы в разных регистрах и спецсимволы — и был не слишком коротким.
• Устанавливают задержку во времени при попытке входа в систему. Например, нельзя пытаться войти в аккаунт чаще одного раза в секунду. Человек такое ограничение даже не заметит, а вот брутфорсить будет гораздо труднее.
• Ограничивают число попыток входа в систему с одного IP-адреса. Если ограничение превышено, пользователя могут попросить пройти капчу или вовсе блокируют дальнейшие попытки войти.
• Используют соль в хешах своих паролей. Даже если базу данных украдут, взломать «посоленные» хеши будет гораздо труднее.
• Добавляют двухфакторную аутентификацию.

Брутфорс-атака — это вид кибератаки, при которой хакер перебирает разные комбинации данных, пока не найдёт нужную. Таким образом взламывают учётные записи и криптографические протоколы.

С помощью специальных программ хакеры могут перебирать миллиарды комбинаций в секунду, поэтому для защиты от брутфорса нужно выставлять сильные пароли, не использовать их несколько раз и регулярно менять.