Jump to content
nym3ny

SSH2 Brute Force 2012

Recommended Posts

Posted (edited)

EDIT: PENTRU SCANERUL DE BRUTE FORCE NUMAI MA CONTACTATI PE MESSENGER CA NU O SA VA MAI DAU ACCEPT, AM VANDUT SURSA. PENTRU A LUA LEGATURA CU CEL CARE SE OCUPA ACUM DE PROIECT DATI ADD PE MESS LA ID: ihackyourmindandsoul, SAU E-MAIL: ihackyourmindandsoul@yahoo.com .

tar zxvf s2.tgz

cd s2

screen

./scan_mic x.x

sau

./mass x

ctrl + a +d (pentru a iesi din screen )

screen -r ( pentru a reveni in screen )

in vuln.txt vin login in nobash.txt nologins.

Informatii utile:

./ssh2 ip port user pass , pentru a testa functia de checker de la bruter.

Daca ai un server cu mai multe ip-uri creezi in folderul cu scanerul : "interface.txt" si in el pe cate un rand adaugi ip-urile, si scanerul va lua de acolo circular ip-urile astfel sistemele de protectie anti brute force nu vor mai putea bana serverul din care folositi arhiva.

Optimizare de thread-uri ( fork-uri ) daca ai luat o clasa cu prea putine ip-uri si ai setat un nr prea mare de thread-uri acest numar va fi automat redus astfel incat sa nu floodezi acele ip-uri.

La logine iti salveaza pe serverul tau si /etc/passwd in fisierul cu scannerul "etc-passwd.txt", astfel vei putea sa iti maresti passfile-ul.

De asemenea nu prinde acele ip la care merge orice combinatie de user si pass sau care te lasa sa bagi user si orice pass.

Edit: In urma mesajelor de pe privat am marit timeout la 5 secunde arhiva este la acelasi link.

Edited by nym3ny
  • Upvote 1
Posted (edited)

Fisierele vuln.txt si nobash.txt se creeaza automat dupa terminarea scanarii?

In scan.log am aparut cateva ip-uri, dar mai departe scanerul nu mai misca si l-am lasat cateva minute bune. E ceva in neregula?

Edited by Zaoane
Posted (edited)

Nu e nimic in neregula, in vuln.txt si nobash.txt se strang pe masura ce le prinzi, si iti apar si pe consola.

Ca sa vezi daca e cu adevarat mort, iesi din screen si dai: ps x, si vezi daca nu iti ruleaza multe procese sshd atunci e o problema la el, desi daca ai ip-uri in scan.log nu ar trebui sa fie nici o problema.

Te rog revin-o cu reply si spune daca ai reusit sau nu.

Edited by nym3ny
Posted

New Update

Daca scanul este intrerupt din motive diverse ( a luat kill , a fost serverul restartat ... ) nu se pierde nimic, intri in directorul cu scanu dai decat ./ssh2 250 si incepe de unde a ramas. Astfel nu va mai incerca iar combinatiile de dinaintea opririi.

Am adaugat optiunea de a scana si pe alt port decat 22, ./ssh2 <max fork> <port>. Se poate edita "mass", "scan" si "scan_mic" inlocuind "22" cu alt port, si adaugarea la linia: ./ssh2 250 cu: ./ssh2 250 port.

Aceste modificari au fost facute in urma mesajelor primite in privat.

Posted

Ieri o functionat bine, in 10 min am gasit si cateva nologine.

Azi am mutat scaneru pe un virtualbox si primesc urmatoarea eroare:

root@bt:~/s2# sudo bash ./scan_mic 72.5

scanner

- by nym3ny

./scan_mic: line 18: ././pscan2: Permission denied

[+] Done.

./scan_mic: line 20: ./ssh2: Permission denied

scan_mic: no process found

root@bt:~/s2# whoami

root

Posted


# ./ssh2 74.54.XXX.XXX XXXX abc abc
nobash -> abc abc 74.54.XXX.XXX
#


# ./ssh2 216.139.XXX.XXX XXXX XXXX XXXXX
#

Am testat functia de checker cu 2 ip-uri pe care le stiu ca unul este nologin (primul) si ca unul merge (al doilea).

La cel care merge nu arata nimic, nu creaza nici un fisier in plus. La nologin imi arata nobash -> si creaza fisierul nobash.txt unde il si trece. Asa trebuie?

Posted (edited)

Ai dreptate. Am luat arhiva pe alt server si imi arata cum spui tu, dar:


1918846 Apr 10 06:29 ssh2


1923370 Apr 10 19:19 ssh2

Difera dimensiunile...

L.E.: Cred ca ai dreptate. Am luat arhiva iar pe serverul "problema" si acelasi lucru se intampla.

Ma gandesc ca daca gaseste ceva bun, face aceeasi faza, nu-mi arata.

Edited by Caracal
Posted

e clar de la server, numai scana din serverul ala, sau cel putin nu pe clasa pe care e acel ip

L.E.: Cred ca ai dreptate. Am luat arhiva iar pe serverul "problema" si acelasi lucru se intampla.

Ma gandesc ca daca gaseste ceva bun, face aceeasi faza, nu-mi arata.

Posted
@88fingers are un sistem de update ca in momentul cand scot alta versiune sa anunte. E vreo problema?

De ce nu functioneaza daca am adaugat:

[root@fed64 s2]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

127.0.0.1 www.t0ma.ro

127.0.0.1 t0ma.ro

[root@fed64 s2]# ./ssh2 100 22

Sa inteleg ca fara a verifica "update-ul" asta programul nu functioneaza? Mie mi se pare suspecta toata tarasenia, mai mult am vazut ca ai ascuns acuma linukul ala in sursa. Eu am impresia ca acolo primesti tu ceea ce scaneaza cei care folosesc bruterul asta. Daca ma insel astept dovezi pertinente. Cel mai ok ar fi sa postezi sursa, asa ar fi cel mai corect daca tot esti binevoitor si vrei sa imparti munca cu colegii de forum.

Cativa dintre noi poate l-am putea imbunatatii chiar.

Seara buna

Posted
De ce nu functioneaza daca am adaugat:

[root@fed64 s2]# cat /etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4

::1 localhost localhost.localdomain localhost6 localhost6.localdomain6

127.0.0.1 www.t0ma.ro

127.0.0.1 t0ma.ro

[root@fed64 s2]# ./ssh2 100 22

Sa inteleg ca fara a verifica "update-ul" asta programul nu functioneaza? Mie mi se pare suspecta toata tarasenia, mai mult am vazut ca ai ascuns acuma linukul ala in sursa. Eu am impresia ca acolo primesti tu ceea ce scaneaza cei care folosesc bruterul asta. Daca ma insel astept dovezi pertinente. Cel mai ok ar fi sa postezi sursa, asa ar fi cel mai corect daca tot esti binevoitor si vrei sa imparti munca cu colegii de forum.

Cativa dintre noi poate l-am putea imbunatatii chiar.

Seara buna

Dupa ce ai adaugat t0ma.ro in hosts, poti sa faci si un "ssh2_log/verify.php" in /srv/www/htdocs sau unde ai tu setat DocumentRoot. In verify.php pui v1.1. Cred ca ar trebui sa mearga asa...

Posted

Sa imbunatatesti ce o sa faci tu, iar cine vrea il foloseste si cine nu NU!

Cat despre ce primesc eu, primesc decat multumirea ca flux nu vinde ceea ce are el acolo pe sute de euro ca alea nu sunt programe de atatea sute de euro.

Daca nu verifica update-ul da nu merge!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...