Fuerza bruta en sitios web? - Giveaway

bbvedf

member

Activity: 588

Merit: 61

Quote from: seoincorporation on March 15, 2019, 09:51:36 AM

Quote from: bbvedf on March 15, 2019, 02:51:26 AM

Quote from: seoincorporation on March 11, 2019, 11:31:20 AM

De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? Grin

Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:

Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.

		
	¿Realmente has sido tú?
	
Dónde: 	Cerca de Iran
Cuándo: 	Mar 13, 2019 at 10:54 pm (+0330)
Qué: 	Dropbox for iPhone

Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios Tongue

Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas.

Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...)

Ni siquiera uso Dropbox ... Al menos que recuerde!
Supongo que alguna vez me registraría con una pass floja.
Pero no deja de llamar la atención. Tengo admiradores iraníes ...

seoincorporation

legendary

Activity: 3290

Merit: 3092

Quote from: bbvedf on March 15, 2019, 02:51:26 AM

Quote from: seoincorporation on March 11, 2019, 11:31:20 AM

De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? Grin

Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:

Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.

		
	¿Realmente has sido tú?
	
Dónde: 	Cerca de Iran
Cuándo: 	Mar 13, 2019 at 10:54 pm (+0330)
Qué: 	Dropbox for iPhone

Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios Tongue

Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas.

Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...)

bbvedf

member

Activity: 588

Merit: 61

Quote from: seoincorporation on March 11, 2019, 11:31:20 AM

De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? Grin

Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:

Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.

		
	¿Realmente has sido tú?
	
Dónde: 	Cerca de Iran
Cuándo: 	Mar 13, 2019 at 10:54 pm (+0330)
Qué: 	Dropbox for iPhone

seoincorporation

legendary

Activity: 3290

Merit: 3092

De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos? Grin

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

A ver si en próximos hilos de este tipo la gente se anima y podemos contrastar distintos métodos de acceso o técnicas de resolución. Aunque la recompensa no sea en forma de monedas Cheesy

¡Un saludo y enhorabuena a todos los participantes!

bbvedf

member

Activity: 588

Merit: 61

Quote from: bbvedf on March 09, 2019, 12:10:36 PM

Los mantengo hasta mañana por si queréis seguir probando

Así hacemos un concurso para todos!

Retirados!
Ya seguid probando si queréis, pero solo por amor al conocimiento ... Grin

bbvedf

member

Activity: 588

Merit: 61

Quote from: seoincorporation on March 09, 2019, 11:31:43 AM

Quote from: bbvedf on March 09, 2019, 03:08:27 AM

Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes

Eso vale? jejejje

Buen trabajo bbvedf!!!

Pero te tengo una mala noticia, has olvidado retirar los 250 doge! Grin

Así que el giveaway sigue en pie!

Pista: El primer numero es 4.5

Jjjjjjj
Los mantengo hasta mañana por si queréis seguir probando

Así hacemos un concurso para todos!

seoincorporation

legendary

Activity: 3290

Merit: 3092

Quote from: bbvedf on March 09, 2019, 03:08:27 AM

Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes

Eso vale? jejejje

Buen trabajo bbvedf!!!

Pero te tengo una mala noticia, has olvidado retirar los 250 doge! Grin

Así que el giveaway sigue en pie!

Pista: El primer numero es 4.

Perejil

member

Activity: 116

Merit: 48

Quote from: bbvedf on March 09, 2019, 03:08:27 AM

Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes

Eso vale? jejejje

Enhorabuena. Despues de un dia dandole con mi script y no encontrarla, me he hecho una cuenta, me intento loguear y mi script falla Roll Eyes

. Porque no probaría esto primero... Grin

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

En el primer mensaje de seoincorporation sólo dice que el primero que encuentre la contraseña se llevará el premio

Una vez dentro tienes acceso a todos los detalles por lo que puedes cambiar la contraseña y actuar tranquilamente. Yo recomendaría modificar la contraseña por cuestiones de privacidad evitando que se pueda consultar la dirección a la que has realizado el retiro.

¡Enhorabuena!

bbvedf

member

Activity: 588

Merit: 61

Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes

Eso vale? jejejje

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

Quote from: bbvedf on March 08, 2019, 04:41:34 PM

Quote from: franckuestein on March 08, 2019, 04:12:38 PM

...

Ésta me parece más fácil para los del 99 al 0:
-snip-

Si pass = "latino" y la variable i puede ser 1, 2, 3, 4, 5, 6, 7, 8 o 9 con el código que mencionas final = latino01, latino02, latino03...
La contraseña debe contener 3 números

latino001, latino002, latino003...

Quote from: seoincorporation on March 08, 2019, 05:00:13 PM

Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas:

***: 3 Números

al ser 3 números entonces 'Latino0' no es una opción.

Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito.

¿La contraseña empieza por Latino o latino?
En el OP pone latino y ahora mencionas Latino Roll Eyes

El Latino0 que tú comentas no es una opción, pero si juntas latino0 con el número 80 que es lo que estamos intentando la variable final pasa a ser latino080 que sí cumple con los 3 números.

En el var pass = latino0 o latino00 sólo asignamos ese valor a la variable pass que luego se une con la variable i.

final = pass + i
latino080 = latino0 + 80
latino079
latino078
...
latino001 = latino00 + 1
...

En el código de hace unas horas
final = pass + i
latino300 = latino + 300
latino299
latino298
...

seoincorporation

legendary

Activity: 3290

Merit: 3092

Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas:

***: 3 Números

al ser 3 números entonces 'latino0' no es una opción.

Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito.

Actualización:

He corregido la 'L' de mi ejemplo a 'l' para no generar confusión, la clave empieza con minúscula, actualizo en esta publicación en ves de hacer una nueva solo para evitar el spam Wink

bbvedf

member

Activity: 588

Merit: 61

Quote from: franckuestein on March 08, 2019, 04:12:38 PM

...

Ésta me parece más fácil para los del 99 al 0:

Code:

final = pass + 0 + i
...
})(99);

He puesto 60 segundos al loop y ya no da guerra, pero va a tardar como 20 horas ... Huh

Supongo que alguien lo adiviniará antes Cheesy

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

He creado una cuenta y he intentado iniciar sesión utilizando partes del script. Una vez se introducen los datos correctos la página vuelve a cargar con el típico mensaje de Navigated to https://www.999dice.com/ en la consola.

El script se detiene y puedes tomar como referencia las últimas contraseñas que ha intentado si guardas el log.

Solución rápida y cambios para comprobar del 99 al 10

Code:

var pass = "latino0"

Code:

})(99)

Y del 9 al 0

Code:

var pass = "latino00"

Code:

})(9)

xd.

bbvedf

member

Activity: 588

Merit: 61

Quote from: franckuestein on March 08, 2019, 02:53:26 PM

Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes Grin

Ya la tendría que haber encontrado.

Me pasa igual. He completado un ciclo completo y nada ... Cry

He ampliado tu loop a 25 segundos, y aún así salen warnings.
@seoincorporation, solo por confirmar. El usuario es con L máyuscula, no?

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

Quote from: bbvedf on March 08, 2019, 08:12:29 AM

Me gusta tu método

Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script?

Saludos!

¡No te preocupes!

La consola del navegador tiene la opción de mantener el log por lo que si el inicio de sesión es satisfactorio en principio la página se actualizará, el script se detendrá y tendrás registrada la última combinación que ha intentado gracias al console.log que deja constancia en la consola.

No tengo claro si se actualiza la página por lo que puede que se inicie sesión y el script siga funcionando. Es irrelevante porque probablemente desaparezca el campo contraseña al haber iniciado sesión y la consola del navegador mostrará el siguiente mensaje al no encontrar el campo de la contraseña en el formulario.

Code:

TypeError: document.getElementById(...) is null[Learn More]

La última contraseña antes de este mensaje debería ser la correcta. Tampoco es muy importante porque ya estarás dentro. Siempre se podria añadir un if/else que controle si existe ese campo o no y si no existe directamente no siga.

Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes Grin

Ya la tendría que haber encontrado.

bbvedf

member

Activity: 588

Merit: 61

Quote from: franckuestein on March 08, 2019, 06:41:17 AM

...

Me gusta tu método

Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script?

Saludos!

Zarg0n

full member

Activity: 448

Merit: 170

Muy interesante este giveaway , el tema de macros no entiendo nada pero manualmente hice algunos intentos por la zona de 970/990 pensando en que podria ser la terminacion de una fecha de nacimiento pero no anda por esa zona la solucion.

franckuestein

legendary

Activity: 1960

Merit: 1130

Truth will out!

Aquí tenéis otra opción que se puede ejecutar desde la consola del navegador. Cada 19 segundos asigna un nuevo valor al campo de la contraseña y pulsa el botón de inicio de sesión. No es la opción más limpia pero si no me he confundido sirve para hacer pruebas rápidas xD

Code:

(function myLoop (i) {     
	var pass = "latino"
	var final = ""     
   	
	setTimeout(function () {   

		final = pass + i

		document.getElementById("AccountTabLoginPassword").value = final
		console.log(final + "\n")
		document.getElementById("AccountTabLogin").click()

		if (--i) myLoop(i)
	}, 19000)
})(999);

De 999 a 0

Cuando llega a 100 hay que tener en cuenta que la próxima contraseña que intentará es latino99 y no latino099 por lo que se tendrá que hacer algun ajuste para tratarlo

Code:

function pad(n, width, z) {
	z = z || '0'
	n = n + ''
	return n.length >= width ? n : new Array(width - n.length + 1).join(z) + n
}
pad (99, 3)

pad (99, 3) devolverá 099. A partir de aquí podéis tratar con los datos a vuestro gusto. Información: https://stackoverflow.com/a/10073788

Uno de los fallos de este script es que sigue funcionando cuando el inicio de sesión falla por la alerta de múltiples intentos por lo que esa contraseña o las siguientes pueden no comprobarse bien.

Lo dejo aquí porque quizá es un punto de partida para los demás que quieran intentarlo Wink

Suerte

Topic: Fuerza bruta en sitios web? - Giveaway (Read 441 times)