На различных сайтах wow серверов используются различные скрипты личного кабинета, но после анализа 5 серверов оказалось, что ни на одном из них не стоит защита от перебора пароля. Через эту форму логина мы и будем подбирать пароли к аккаунтам. Для наглядности я взял сервер:Бесплатный Русский сервер WOW server WOTLK 3.3.3a v, панель управления для входа в личный кабинет находиться по адресу:http://fun.holynet.ru/index.php
Для перебора паролей качаем архив с программами: 1.WBF.Gold - программа для брута. 2.Powerful GeneratoR - нужен для генерирования файла вида логин;пасс для брута нескольких аккаунтов одновременно. 3.частые логины аккаунтов.txt - собрал с различных слитых баз частоиспользуемые аккаунты. 4.частые пассы.txt - частоиспользуемые пароли (доробатывается). Скачать(617 231 байт)
Настраиваем программу: 1. Запускаем программу из папки "WBF.Gold". Далее нажимаем на кнопку "параметры". Далее для работы необходимо перенести данные веб-формы в программу. 1.1 Хост/Обработчик формы.
Здесь нужно выбрать Get, Post или Basic-Auth. Ищем в сорце текст: method=
Если в коде прописано method="POST"
то в программе выбираем POST, если method="GET" то GET. В моём случаи это POST.
1.3 Атрибуты Submit-кнопки
Нам нужно перенести атрибуты кнопки логина. Ищем в сорце текст: <input type="submit"
Прописываем в программе в поле Name: submit, в поле Value - текст на кнопке. В моём случаи это: <input type="submit"value="Войти">
Если в коде нет текста <input type="submit"
то этот пункт пропускаем.
1.4 Имена полей индентификаторов
Нам нужно получить поля идентификаторов, то есть поля, в которых передаются логин и пароль при отправке на сервер. Ищем в теге <input> атрибут name. Если его содержимое похоже на login, nickname, username и тп. (думаю, суть понятна), то это и есть поле логина. Копируем атрибут name в "Поле "Логин"" нашей программы. В нашем случаи: <input type="text"name="auth_name"size=10>
Поэтому в программу, в поле Логин мы вписываем: auth_name Аналогично поступаем с полем "пароль" (вероятно оно будет иметь имя pass, password, pwd и т.д.). В нашем случаи: <input type="password"name="auth_pass"size=10>
Значит в программу в поле Пароль мы вписываем: auth_pass
1.5 Индикация успешного входа Здесь нужно вписать часть кода текста, который отсутствует в коде страницы после авторизации. Я сделал так, зарегистрировал аккаунт, вошёл в панель управления и посмотрел код страницы. В моём случаи после авторизации на сайте, полей для авторизации (ввод логина и пароля) нет, соответственно точно отсутствует эта часть в коде. Допустим: input type="password"
1.6 Параметры перебора
Атака 1 аккаунта. Если вы знаете точное название аккаунта, то выбираем этот пункт, затем подключаем файл паролей (в архиве приложено, но если брутите 1 аккаунт, то лучше скачать словарик побольше, со всеми английскими словами и комбинациями чисел) Несколько аккаунтов: Тут используем программу Powerful GeneratoR для склеивания файла с логинами и паролями. Атака по 1 паролю.Тут можете указать файл логинов и пароль, который будем перебирать к аккаунтам.
Результаты моего брута: Атака 1 аккаунта - не стал использовать, логин администратора вероятно Dunkan, но я не уверин, да и этот человек сис.админ, поэтому брутить его бессмысленно. Других аккаунтов я не знал. Несколько аккаунтов - слил список аккаунтов, около 50к со списком паролей около 1к, в результате получился файлик размером 500 мб, программа выдавала на него ошибку из-за объёма, потом разделил его на 3 файлика по 180 МБ и всё пошло.Брут пока идёт, о результатак позже. Атака по 1 паролю - на пароль qwerty подобралось 8 аккаунтов, думаю, если взять что-то посложнее, то можно взломать неплохой акк. На моём ПК брут выдавал 35 ППС, на дедике с каналом 18 мбит/c выжимал 60 ППС. Взято с kr9ck.net
Сообщение отредактировал moziilla - П`ятниця, 04.03.2011, 22:41
ребят я не понял что такое сорц страницы и т.д ребят угоните плиз для меня аккаунт вов с wowcircle с любого логана чтобы там был ок перс и пасс поменяйте и напишыте мне плиз!! буду очень благодарен!!! => http://vkontakte.ru/id122015061 пишите сюда плиз!!! плиз надеюсь на вас ))))
плиз надеюсь на вас ))))
