Pages:
Author

Topic: Fuerza bruta en sitios web? - Giveaway (Read 458 times)

member
Activity: 588
Merit: 61
March 15, 2019, 10:42:27 AM
#30
De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos?  Grin



Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:
Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.


¿Realmente has sido tú?

Dónde: Cerca de Iran
Cuándo: Mar 13, 2019 at 10:54 pm (+0330)
Qué: Dropbox for iPhone

Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios  Tongue Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas.

Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...)

Ni siquiera uso Dropbox ... Al menos que recuerde!
Supongo que alguna vez me registraría con una pass floja.
Pero no deja de llamar la atención. Tengo admiradores iraníes ...
legendary
Activity: 3346
Merit: 3125
March 15, 2019, 08:51:36 AM
#29
De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos?  Grin



Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:
Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.


¿Realmente has sido tú?

Dónde: Cerca de Iran
Cuándo: Mar 13, 2019 at 10:54 pm (+0330)
Qué: Dropbox for iPhone

Pudo haber sido fuerza bruta, phishing o un key logger... Solo espero que no uses esa misma clave para otros servicios  Tongue Y ya sabes nada de entrar a dropbox desde cafe internet, bibliotecas o redes publicas.

Un fuerza bruta de 8 caracteres con digitos es algo complejo pero no imposible, por eso es importante usar caracteres diferentes a letras y numeros en la clave ("#$&...)
member
Activity: 588
Merit: 61
March 15, 2019, 01:51:26 AM
#28
De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos?  Grin



Ayer sufrí en mis propias carnes un fuerza bruta de 8, caracteres + digitos, en una cuenta de Dropbox.
IP de Irán. Para comer no tendrán, pero para el mal están superdotados ... Roll Eyes

Code:
Un nuevo dispositivo (iPhone) acaba de iniciar sesión en tu cuenta de Dropbox. Para garantizar la seguridad de tu cuenta, indícanos si has sido tú.


¿Realmente has sido tú?

Dónde: Cerca de Iran
Cuándo: Mar 13, 2019 at 10:54 pm (+0330)
Qué: Dropbox for iPhone
legendary
Activity: 3346
Merit: 3125
March 11, 2019, 10:31:20 AM
#27
De todos los giveaway este ha sido de mis favoritos, no pensé que lo fueran a resolver tan fácil, pero al parecer se divirtieron. Están listos para un fuerza bruta de 7 dígitos?  Grin

legendary
Activity: 1960
Merit: 1130
Truth will out!
March 11, 2019, 05:22:18 AM
#26


A ver si en próximos hilos de este tipo la gente se anima y podemos contrastar distintos métodos de acceso o técnicas de resolución. Aunque la recompensa no sea en forma de monedas Cheesy

¡Un saludo y enhorabuena a todos los participantes!
member
Activity: 588
Merit: 61
March 10, 2019, 02:27:24 PM
#25

Los mantengo hasta mañana por si queréis seguir probando Smiley

Así hacemos un concurso para todos!

Retirados!
Ya seguid probando si queréis, pero solo por amor al conocimiento ...  Grin
member
Activity: 588
Merit: 61
March 09, 2019, 11:10:36 AM
#24
Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes
Eso vale? jejejje




Buen trabajo bbvedf!!!

Pero te tengo una mala noticia, has olvidado retirar los 250 doge!   Grin


Así que el giveaway sigue en pie!

Pista: El primer numero es 4.5

Jjjjjjj
Los mantengo hasta mañana por si queréis seguir probando Smiley

Así hacemos un concurso para todos!
legendary
Activity: 3346
Merit: 3125
March 09, 2019, 10:31:43 AM
#23
Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes
Eso vale? jejejje




Buen trabajo bbvedf!!!

Pero te tengo una mala noticia, has olvidado retirar los 250 doge!   Grin


Así que el giveaway sigue en pie!

Pista: El primer numero es 4.
member
Activity: 116
Merit: 48
March 09, 2019, 08:18:50 AM
#22
Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes
Eso vale? jejejje
Enhorabuena. Despues de un dia dandole con mi script y no encontrarla, me he hecho una cuenta, me intento loguear y mi script falla  Roll Eyes. Porque no probaría esto primero... Grin Grin Grin


legendary
Activity: 1960
Merit: 1130
Truth will out!
March 09, 2019, 06:58:00 AM
#21
En el primer mensaje de seoincorporation sólo dice que el primero que encuentre la contraseña se llevará el premio Smiley

Una vez dentro tienes acceso a todos los detalles por lo que puedes cambiar la contraseña y actuar tranquilamente. Yo recomendaría modificar la contraseña por cuestiones de privacidad evitando que se pueda consultar la dirección a la que has realizado el retiro.

¡Enhorabuena!
member
Activity: 588
Merit: 61
March 09, 2019, 02:08:27 AM
#20
Estoy dentro chavales!!
Lo único, se me ha borrado la consola y no sé cuál habrá sido al final la clave Roll Eyes
Eso vale? jejejje


legendary
Activity: 1960
Merit: 1130
Truth will out!
March 08, 2019, 04:29:18 PM
#19
...

Ésta me parece más fácil para los del 99 al 0:
-snip-

Si pass = "latino" y la variable i puede ser 1, 2, 3, 4, 5, 6, 7, 8 o 9 con el código que mencionas final = latino01, latino02, latino03...
La contraseña debe contener 3 números  Smiley latino001, latino002, latino003...



Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas:

***: 3 Números

al ser 3 números entonces 'Latino0' no es una opción.

Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito.

¿La contraseña empieza por Latino o latino?
En el OP pone latino y ahora mencionas Latino  Roll Eyes Grin

El Latino0 que tú comentas no es una opción, pero si juntas latino0 con el número 80 que es lo que estamos intentando la variable final pasa a ser latino080 que sí cumple con los 3 números.

En el var pass = latino0 o latino00 sólo asignamos ese valor a la variable pass que luego se une con la variable i.

final = pass + i
latino080 = latino0 + 80
latino079
latino078
...
latino001 = latino00 + 1
...

En el código de hace unas horas
final = pass + i
latino300 = latino + 300
latino299
latino298
...
legendary
Activity: 3346
Merit: 3125
March 08, 2019, 04:00:13 PM
#18
Veo que se están divirtiendo, lo cual me da gusto, de eso se trata el reto. Pero están ignorando una de las reglas:

***: 3 Números

al ser 3 números entonces 'latino0' no es una opción.

Espero que puedan resolver lo este fin de semana. Si llegamos al lunes y no se ha resuelto diré cual es el primer dígito.

Actualización:

He corregido la 'L' de mi ejemplo a 'l' para no generar confusión, la clave empieza con minúscula, actualizo en esta publicación en ves de hacer una nueva solo para evitar el spam  Wink
member
Activity: 588
Merit: 61
March 08, 2019, 03:41:34 PM
#17
...

Ésta me parece más fácil para los del 99 al 0:
Code:
final = pass + 0 + i
...
})(99);

He puesto 60 segundos al loop y ya no da guerra, pero va a tardar como 20 horas ...  Huh
Supongo que alguien lo adiviniará antes Cheesy
legendary
Activity: 1960
Merit: 1130
Truth will out!
March 08, 2019, 03:12:38 PM
#16
He creado una cuenta y he intentado iniciar sesión utilizando partes del script. Una vez se introducen los datos correctos la página vuelve a cargar con el típico mensaje de Navigated to https://www.999dice.com/ en la consola.

El script se detiene y puedes tomar como referencia las últimas contraseñas que ha intentado si guardas el log.

Solución rápida y cambios para comprobar del 99 al 10
Code:
var pass = "latino0"
Code:
})(99)

Y del 9 al 0
Code:
var pass = "latino00"
Code:
})(9)

xd.
member
Activity: 588
Merit: 61
March 08, 2019, 02:04:41 PM
#15
Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes  Grin Ya la tendría que haber encontrado.

Me pasa igual. He completado un ciclo completo y nada ...  Cry
He ampliado tu loop a 25 segundos, y aún así salen warnings.
@seoincorporation, solo por confirmar. El usuario es con L máyuscula, no?
legendary
Activity: 1960
Merit: 1130
Truth will out!
March 08, 2019, 01:53:26 PM
#14

Me gusta tu método Smiley
Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script?

Saludos!

¡No te preocupes!

La consola del navegador tiene la opción de mantener el log por lo que si el inicio de sesión es satisfactorio en principio la página se actualizará, el script se detendrá y tendrás registrada la última combinación que ha intentado gracias al console.log que deja constancia en la consola.

No tengo claro si se actualiza la página por lo que puede que se inicie sesión y el script siga funcionando. Es irrelevante porque probablemente desaparezca el campo contraseña al haber iniciado sesión y la consola del navegador mostrará el siguiente mensaje al no encontrar el campo de la contraseña en el formulario.

Code:
TypeError: document.getElementById(...) is null[Learn More]

La última contraseña antes de este mensaje debería ser la correcta. Tampoco es muy importante porque ya estarás dentro. Siempre se podria añadir un if/else que controle si existe ese campo o no y si no existe directamente no siga.

Tras algunas pruebas creo que la contraseña es una de las que ha intentado cuando ha saltado el error de que se están produciendo demasiadas solicitudes  Grin Ya la tendría que haber encontrado.
member
Activity: 588
Merit: 61
March 08, 2019, 07:12:29 AM
#13
...

Me gusta tu método Smiley
Me surge una duda, y disculpad mi ignorancia. Si en una de éstas encuentra las password y se loga, ... aparecerá en la consola? Se parará el script?

Saludos!
full member
Activity: 448
Merit: 170
March 08, 2019, 07:11:04 AM
#12
Muy interesante este giveaway , el tema de macros no entiendo nada pero manualmente hice algunos intentos por la zona de 970/990 pensando en que podria ser la terminacion de una fecha de nacimiento pero no anda por esa zona la solucion.
legendary
Activity: 1960
Merit: 1130
Truth will out!
March 08, 2019, 05:41:17 AM
#11
Aquí tenéis otra opción que se puede ejecutar desde la consola del navegador. Cada 19 segundos asigna un nuevo valor al campo de la contraseña y pulsa el botón de inicio de sesión. No es la opción más limpia pero si no me he confundido sirve para hacer pruebas rápidas xD

Code:
(function myLoop (i) {    
var pass = "latino"
var final = ""    
  
setTimeout(function () {  

final = pass + i

document.getElementById("AccountTabLoginPassword").value = final
console.log(final + "\n")
document.getElementById("AccountTabLogin").click()

if (--i) myLoop(i)
}, 19000)
})(999);

De 999 a 0

Cuando llega a 100 hay que tener en cuenta que la próxima contraseña que intentará es latino99 y no latino099 por lo que se tendrá que hacer algun ajuste para tratarlo

Code:
function pad(n, width, z) {
z = z || '0'
n = n + ''
return n.length >= width ? n : new Array(width - n.length + 1).join(z) + n
}
pad (99, 3)

pad (99, 3) devolverá 099. A partir de aquí podéis tratar con los datos a vuestro gusto. Información: https://stackoverflow.com/a/10073788

Uno de los fallos de este script es que sigue funcionando cuando el inicio de sesión falla por la alerta de múltiples intentos por lo que esa contraseña o las siguientes pueden no comprobarse bien.

Lo dejo aquí porque quizá es un punto de partida para los demás que quieran intentarlo  Wink
Suerte
Pages:
Jump to: