Брутфорс - грубая сила, взлом перебором
В статье " " было сказано, что взломать вк брутфорсом (программой) - невозможно.
Это не совсем так, лазейки всё таки-есть…
Ниже будет приведен рабочий скрипт, но сначала…
Внизу статьи - бесплатная прога для генерирования брут словаря и листинг "топ лоховских паролей"
Заранее делаю оговорку, что речь идет о классическом «переборе» без всяких алгоритмов PBKDF2 , без разбора хэширования sha , т.к. на бытовом уровне это неподъемная задача.
В сети гуляют множество программ «для взлома ВК перебором (брутом)»
Какую выбрать? Какая поможет (без вреда мне же)?
- Никакая
Каждый аккаунт ВК требует персонального подхода и шаблонные проги из сети -это всё лажа, развод, фуфло.
Сейчас сами поймете почему. Мат.часть кратко.
Минимальная длина пароля ВК - 6 символов.
Пароль обязательно должен содержать:
цифры
(0-9 - 10 вариантов),
буквы
(a-z - 26 в латинице),
заглавные буквы
(A-Z - тоже 26)
Итого на каждый символ - 10+26+26=62 (!) варианта, поэтому количество комбинаций для:
6-и символьного пароля - 56 800 235 584 (56,8 миллиардов)
7-и символьного пароля - 3 521 614 606 208 (3,5 триллионов)
8-и символьного пароля - 218 340 105 584 896 (218 триллионов)
9-и символьного пароля -13 537 086 546 263 600 (ХЗ как это называется))))
Длину пароля мы не знаем, поэтому брутить придется диапазон хотя бы из 6-8 символов
Итого: 6+7+8 символов = 221 918 520 426 688 (222 триллиона) вариантов
Допустим у вас достаточно хороший комп, но возникает вопрос - сколько запросов к серверу ВК он сможет сделать?
Какая скорость перебора у домашнего компа?
Подсчитаем
. Для этого откроем командную строку (Пуск - стандартные-Командная строка или запустим процесс cmd.exe)
Вбиваем команду , получаем ответ сервера
«Ответ от …..время 134мс» (это у меня, у вас время может отличаться)
Время пинга - это время за которое сигнал идет от нашей машины до сервака и обратно
В одной секунде 1000 миллисекунд (мс), поэтому
Скорость брута с вашей машины (запросов/сек) будет = 1000/время ответа
В моём случае 1000/134мс = 7,4 запроса (пароля) в секунду
Сколько же времени займет перебор паролей для ВК?
Напомню, что мы перебираем 221 918 520 426 688 (222 триллиона) вариантов пароля.
Поэтому, чтоб узнать сколько мы будем взламывать пароль ВК перебором делим количество на скорость, т.е.
221918520426688 пароля / 7,4 пароля в секунду = 29737081737176сек = 495618028953 мин = 8260300483 часов = 344179187 дней = 942957 лет
Вывод: реальная программа для взлома ВК могла бы подобрать пароль перебором за 94 тысячи лет.
Вопрос: А как же видео на ютюбе, в которых чудо-проги брутят страницу ВК за несколько минут/часов?
Отвечаю: Это развод созданный с целью заражения вашего компа для кражи ваших же данных. Не больше - не меньше.
Можно значительно ускорить процесс перебора!
Для этого нужно:
1. Повысить вычислительную мощность. Например, заразить 1.000.000 чужих компов и со всех одновременно брутить ВК (аж смешно)
2. Укоротить брут-словарь до, например, пары тыщ.(по принципу социальной инженерии)
Как сделать брут-словарь?
1. Ручками в программе блокнот (notepad.exe)
2. Прогой «генератор брута» (ссылка внизу статьи)
Этот брут - словарь наполняем реальными вариантами.
Реальные - это такие, которые хоть как-то связано с взламываемым человеком:
- телефоны
(его, его родственников, друзей)
Пример
- номера с +7с, 8кой, без 8ки - попадается редко
- даты рождения
(его, его родственников, близких)
Пример
- (одной и той же даты) 010118, 01012018, 20180101, 180101 - попадается часто
- Имена любимых, близких
Пример
- SashaMaria, MariaIvanova, SaNoMaIv - попадается средне
Название сайта (или фамилия) на другой раскладке
Пример
, если набрать слово «vkontakte» на русской раскладке, то получится - «млщтефлеу» - такая схема ну очень часто попадается на всех сайтах.
- лоховской список паролей для брута (список самых распространенных паролей в сети - ссылка в конце статьи)
Долго ли писать словарь? Ну, не очень - полчаса за глаза хватит. А кто сказал что будет легко?))
Допустим у нас есть созданный брут словарь и рабочая прога для подбора пароля ВК (либо ручной ввод по словарю).
Возникает одна важная проблема - система защиты сервера.
Собственно помеха её заключается в том, что при слишком частых запросах сервер тупо блокирует (временно) ваш IP. Кроме того, если вы работаете с ВК через стандартную форму ввода (HTML\FORM), то после 3 ей неудачной попытки ВК будет просить ввести капчу.
В старой версии ВК можно было просто перейти на мобильную версию - m.vk.com, теперь же мобильной версии как таковой нет - в 2016 году сделали единый адаптивный дизайн.
Как обойти капчу Вконтакте?
ВК требует ввод капчи после 3 неудачной попытки (перезагрузка F5 не помогает), а как он узнает что это именно вы делаете несколько попыток входа?
По IP
- по кукам (cookies), кэшу и JavaScript
С куками, кэшем и JavaScript нет проблем - их можно просто отключить в настройках браузера.
IP можно менять установив прогу по смене IP - в этом нет ничего мудреного, в сети их полно (Гугл в помощь)
Можно пользоваться браузером TOR (кто не знает - это браузер для анонимного гуляния по сети, он же меняет IP-шники при каждой новой сессии, полезная штука особенно для тех кто сёрфит или работает в САР)
Но почти полностью сводит на нет все попытки перебора ГЕОлокация.
Сервер ВК запоминает откуда (географически) был произведен последний вход.
И если ваш IP из другого населенного пункта, то (возможно) будет выскакивать надпись:
"Вы пытаетесь зайти под именем Ивана Иванова из необычного места."
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.
Скрипт для брута web-форм (типа, Прога для взлома ВК)
Важно!
На сервере ВК стоит скрипт отслеживающий частоту отправки пакетов, т.е. если вы будете долбить со скоростью N раз/сек - вас автоматически отправят в бан лист по IP.
Также ВК использует ГЕОслежение.
Без динамического IP брутить не стоит и пытаться, может помочь VPN.
Лично я считаю перебор паролей ВК делом малоперспективным, но для ценителей выложу старенький скрипт на Перл’е, позаимствованный у 5p4x2knet a.k.a. Apocalyptic"s и немного пофиксеный.
Скрипт работает методом POST только по двум параметрам - login и пароль .
Если логин известен (например, номер телефона), то соответствующие поля просто заполните значением без обращения к словарю.
Скрытые поля - капчу, картинки скрипт не передаст, скрывайте источник запросов (себя) как описано выше.
Тут нам пригодится вменяемый брут-словарь, который мы составляли в начале статьи. (назовем его, к примеру, brut.txt )
Также нужен файл, из которого наша программа будет получать информацию.
Программа будет вести брутфорс всех скриптов указанных в этом файле.(infa.txt ). Если скрипт один, то можно заменить
Естественно, файл для записи результатов (result.txt )
Итак,
{
#подключаем объект
$usagent = LWP::UserAgent
#открываем файл с информацией (если не можем его открыть то выходим);
# скидываем файл в массив @infa и закрываем. (если скрипт один, то его можно сразу указать)
open(INFA, ";
close(INFA);
#открываем брут-словарь
open(BRUT, ";
close(BRUT);
#открытие файла с результатами (дописывает в конец).
open(RESULT, ">>$ARGV");
#начало цикла
foreach $name (@infa)
{
#отделяем URL, login, переменные и инфу об ошибках
($url, $login, $log_vr, $pwd_vr, $failed) = split(//, $name);
#показываем URL
print "$url...n";
#запуск ещё одного цикла
foreach $brut (@brut)
{
#убиваем пробелы и переводы строк
$pss =~ s/ //;
$pss =~ s/n//;
#подключаем новый объект
$usagent = LWP::UserAgent->new();
#создание запросов.
$req = HTTP::Request->new(POST=>$url);
$req->content_type("application/x-www-form-urlencoded");
$req->content("$log_vr=$login&$pwd_vr=$pss");
#и егоотправка
$result = $usagent -> request($req);
#запись результатов в переменную
$res = $result->content;
#если не получилось формируется сообщение об ошибке
if($res!~ /$failed/i)
{
#вывод сообщения с паролем; запись в результы;
print "brutword found. It isn$pssnn";
print RESULT "URL: $urlnLOGIN: $loginnBRUT: $pssnn";
#иначе продолжение подбора
last;
}
}
}
#закрытие файла result.txt
close(RESULT);
Брут ВК – программное обеспечение, подбирающее в автоматическом режиме пароли к любым аккаунтам «ВКонтакте». Полное название подобных приложений – Брутфорс (грубая сила). Они предназначены для взлома профилей того или иного пользователя на сайте соцсети. Программ таких довольно много, но большинство абсолютно не эффективны. Однако с правильно подобранной утилитой вы получите любую скрытую информацию. Функционал здесь довольно простой и осуществить взлом легко.
Что такое брут «ВК»
Брутом называется специальный софт, подбирающий путем набора различных комбинаций букв и цифр пароли к логинам, электронной почте и так далее. Если вы установили сложный пароль, программа будет долго его подбирать и в конечном итоге может не справиться с задачей. На результат брута во многом влияет то, насколько мощная техника использована для взлома и какова стабильность интернет-соединения. Процесс взлома может длиться считанные минуты либо целые сутки. Если установили пароль высокой сложности, к примеру: RKGJH4hKn2, то специальный софт может совсем не взломать его.
Что такое база
Чтобы программа Брутфорс работала, у нее должны иметься данные; если у нее не будет выбора кодов, делать она ничего не станет. Базой называется набор различных кодовых комбинаций и логинов. Если список огромный, то с помощью приложения аккаунт вы рано или поздно взломаете. Комбинации бывают наименьшей длины из трех букв и цифр. Самая большая длина достигает 16 символов. Это зависит от версии программного обеспечения. Начинается подбор кода буквой «А», завершается последней буквой в алфавите. Литеры могут быть русскими либо английскими. Это основная полезная информация о базе.
Кому это нужно
У всех пользователей свои причины взломов чужих профилей «ВК». Кто-то это делает ради забавы, другие хотят прочесть переписку. Также некоторые желают отсылать недействительные сообщения. Нужно учитывать – Brut незаконный. За воровство всегда придется отвечать. Лучше этим делом не заниматься. Любой взломанный аккаунт легко восстанавливается. Особенно, если при его регистрации была указана настоящая информация. Сложнее с профилями, созданными быстро, с указанием ложных данных, но они обычно хакерам не нужны.
Воруют информацию со страницы в социальной сети «ВК» только, если она для кого-то представляет интерес. Обычно хакеры продают украденные аккаунты заказчикам в большом количестве. Те далее могут перепродавать их опять владельцам, если там есть важная информация. Хакеры всегда стараются защитить себя и используют прокси-сервер. С его помощью их никто не заметит, ведь IP-адрес будет неизвестен.
Если вы хотите защитить себя от злоумышленников, делайте пароль большой длины и сложным. Не используйте собственную учетную запись «ВК» в сети, где к компьютеру имеют доступ другие люди. Также не стоит сохранять пароль в браузере, его могут легко перехватить. Если вам на телефон поступило СМС о совершении входа в профиль «ВК», но вы этого не делали, тут же меняйте пароль. Старайтесь это сделать максимально быстро. Так вы защитите себя от потери важных личных данных.
Да, существует. Таких программ, вообще говоря, множество.
И мы против таких программ.
Но поскольку на такие программы есть некий спрос, давайте разберем разберём, какие из них действуют «относительно» законно, а какие лучше вообще не использовать.
Изначально существуют, от самого создания ВКонтакте, например, такие программы, как приложения для брутфорса.
Такие программы занимаются перебором всех паролей, которые существуют. Для этого используются как обычные алгоритмы с пошаговым перебором, так и т. н. Rainbow-таблицы, в которых значения разбросаны случайным образом по наилучшему распределению – по задумке авторов последних программ, случайное распределение может сократить время поиска пароля, ведь поиск будет идти не с самого сначала, а случайно, и в среднем путь до нужной буквы будет короче.
Мы не рекомендуем пользоваться брутфорс-программами вообще.
Программы для взлома вконтакте существуют самые разные, и поэтому лучше не пользоваться грубым «вламыванием» на страницу, к тому же, сам пользователь может что-нибудь заподозрить и удалить страницу, заведя другую, или сменить её адрес. А кроме того, администрация ВК заблокирует Вас по IP и может начать судебные разбирательства за атаку на сервера входа и нарушение их устойчивости, а также попытку проникновения в чужую переписку.
Итак, программы для взлома вконтакте с помощью брутфорса незаконны. Какие есть ещё?
Вообще, скачать программу для взлома вконтакте бесплатно Вы всегда успеете. Их в самом деле множество. Давайте разберём, какие есть легальные способы проникновения на чужую страницу.
Прежде всего, это приложения. Приложения обладают огромной информацией о пользователе. Обычно пользователи не читают просьбы, которые выдаются перед запуском приложения. А там как раз приложению предоставляется полный доступ к личным данным, списку друзей, стене и так далее. Личные сообщения, конечно, остаются для приложения неизведанными, но зная колоссальный объём личной информации, до того скрытой за настройками приватности, можно проворачивать афёры в сфере социальной инженерии и заниматься «выманиванием» информации о пользователе у его самых близких друзей.
Однако и это не совсем законно – могут возникнуть проблемы, связанные с тем, что если пользователь догадается, что данные «слило» именно приложение, то он, конечно же, подаст на него жалобу, и приложение заблокируют.
В общем, способ хороший, но быстро попадает под подозрение. Да и делать приложение – морока ещё та.
Идём дальше.
Где можно нормально скачать программу для взлома страниц вконтакте, которая будет законной?
Прежде всего, давайте определимся – нас устраивает только социальная инженерия. В принципе, при должном использовании, социальная инженерия поможет нам достать из пользователя все данные, которые нам нужны, без взлома его страницы. Хотя и получить полноценный доступ к странице тоже можно.
Итак, какие есть социальные программы для взлома вконтакте, скачать которые можно бесплатно?
Прежде всего, стоит отметить бот Бробот.
Его использование для взлома, конечно, является довольно-таки странным методом управления этой программой, но в принципе, функциональность там необходима и достаточна для взлома.
Мы можем «натравить» бота на самого пользователя, на его друзей, используя возможности добавления в друзья и личной переписки. Подключим бота III для разговоров, настроив на максимально дружественный тон. И после этого уже можно пожинать плоды, узнавая о пользователе много интересного в истории переписки, которую сохранил Бробот.
После этого можно отправить пользователю, например, кейлоггер, и ловить то, что он пишет другим пользователям
– по сути, особые программы для взлома вконтакте скачать после этого не придётся. Достаточно будет только следить за пользователем. Однако и без кейлоггера тоже можно обойтись!
Как могут нам помочь программы для взлома вконтакте вроде Бробота?
Прежде всего, давайте определимся с тем, что Бробот не взламывает странички. Вся наша деятельность абсолютно законна, никто не сможет подать на нас в суд, никто не сможет нас заблокировать – всё абсолютно честно (в тех пределах, в которых это нам нужно).
Мы просто, по сути, заводим несколько страниц (Лучше сразу купить безлимит, это гарантированно увеличит объём добываемой информации), и с них уже общаемся с пользователем, что позволяет нам узнать его отношение к самым разным личностям, а также получить портрет его самого, его друзей, его родственников и так далее – а именно это, в сущности, нам и нужно.
А в дальнейшем можно провернуть и ещё более интересные и сложные действия, и тут уже всё зависит от Ваших желаний и фантазии.
Программа Бробот станет Вашим хорошим помощником, а группа поддержки Бробота, доступная почти круглосуточно, ответит на все Ваши технические вопросы.
Фишки программы:
Поддержка работы с прокси. Во-первых данный функционал позволяет подбирать необходимые пароли в несколько потоков, не боясь защитного фунционала ВК против действий подобного рода.
Во-вторых в программе встроен собстенный чекер прокси. Алгоритм работы данного чекера предельно прост, но в тоже время позволяет полностью гарантировать отбор действительно работоспособных прокси с требуемым таймаутом. Программа поочерёдно пытается залогиниться в ВК используя каждый прокси. Те прокси, которые прошли проверку – считаются хорошими. Можно не сомневаться, что программа будет с ними работать на ура.
Кстати, авторизация в вконтакте для проверки прокси обязательна. Если вы по каким-то причинам (а хто его знает, вдруг мы ваш пароль украдём:)) не хотите пользоваться собственным аккаунтом – просто зарегестрируйте на первое время временный. А дальше, как вы понимаете, владельцы VKFucker никогда не испытывают трудности с поиском левых аккаунтов;) Кроме того, есть ещё несколько функций, где авторизация предлагается как опция. Дело в том, что Вконтакте относится намного лояльнее к авторизованным запросам. Это даёт и уменьшение необходимых пауз между запросами, и доступ к той части информации которая недоступна незарегистрированным пользователям.
Поддержка многопоточности.
Это позволяет ускорить процесс перебора в 20 и более раз (скорость существенно зависит от скорости ответа ваших прокси, и скорости вашего соединения с интернетом). Эти аспекты подробно изложены в руководстве пользователя.
Поиск e-mail вконтакте по id.
Для многих людей – одна из самых сложных задач – именно узнать логин для брута. В последней версии реализована бета версия поиска e-mail логина по id аккаунта вконтакте. Ключевое слово здесь beta. Пока программа успешно находит где-то 70-75% адресов. Так что – полную работоспособность этой функции мы пока гарантировать не можем. Однако, дальнейшая работа над этой функцией – наша приоритетная цель.
Extra словари!
Однако самой изюминкой данной программы является то, что в комплекте поставки идёт набор особых словарей. Данные словари собирались и формировались на протяжении последнего года. Они были получены на основе расшифровки многочисленного количества хешей из баз крупных сайтов рунета. Если говорить на бытовом уровне – наверняка тот человек, пароль которого вы стремитесь узнать, наверняка был зарегистрирован на одном из тех сайтов, пароли с которого уже есть в нашей базе. Наверняка вам, читающему эти строки приходится постоянно что-то скачивать с различных варезников, большинство из которых юзают ломаный дырявый DLE, и наверняка на многих из них вам приходилось регистрироваться, как и многим миллионам другим пользователей рунета. А теперь подумайте, какое количество пользователей таскает свой пароль по всем сервисам сразу. По нашему опыту, используя эти базы – вероятно подобрать более 87% паролей в течение 36 часов.
Конечно, может оказаться так, что искомого пароля нет в списке, или при вашей скорости соединения с интернетом это займёт чуть больше времени нежели у нас. Но порядок цифр, в любом случае тот же.
Для приобретения данного продукта вам необходимо:
Вариант 1.
Более удобный и быстрый.
1). Скачать программу по ссылке в конце.
2). Пользоваться ей сразу после запуска.
Стоимость – все знаю что софт на хеппи никогда не бывает платным, этот софт не исключение.
Вариант 2.
Более сложный (для тру крякеров)
1). Скачать архив по ссылке в конце
2). по кряку данного брута
3). Повторить описанное в моей статье
4). Пользоваться собственноломанным софтом.
Стоимость варианта – 10 минут времени.
Если вдруг, вы где-то встретите заманчивое описание – Взломанный VKFucker – знайте – это развод. В лучшем случае вы получите архив с мусором, а возможно и с вирусами. И хорошо, если бесплатно. То же касается и триального периода работы программы. Счёт времени работы программы ведётся на сервере, поэтому бесполезно переводить часики в вашей винде или биосе. Это не поможет.
К сожалению я только что опроверг данную теорию. Пруфы ниже.
У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для подбора пароля к различным сервисам.
Brutus AET2
Платформа: Windows
Последний релиз программы был в 2000 году. У тулзы давно нет официального
сайта. Но при этом Brutus AET2
по-прежнему является одним самых шустрых и
продвинутых брутфорсеров для основных Интернет-протоколов. Если нужно подобрать
пароль для HTTP (на тех страничках, где используется авторизация по
логину/паролю), произвольному веб-сервису с авторизацией через форму, почтовому
аккаунту, файловому или Telnet серверу, знай: Brutus
– отличный вариант.
В общем случае для подбора пароля нужно указать хост и порт сервиса, выбрать
протокол, установить количество используемых потоков (максимум - 60), а также
таймаут. В целях анонимности можно подключить сокс или прокси. В зависимости от
протокола также указывается ряд дополнительных параметров. Например, для подбора
пароля на каком-то сайте (тип брутфорса - HTTP Form), необходимо указать метод
(POST или GET), обозначить параметры формы (в Brutus встроено простое средство
для их анализа), а в случае необходимости подделать cookie, включив
соответствующую опцию.
Подбор осуществляется двумя способами: по словарю, причем у проги есть
несколько встроенных утилит для работы с большими списками паролей, или же с
использованием тупо сгенерированных паролей. В последнем случае необходимо
обозначить символы, которые будут использоваться для составления пасса.