Kaba kuvvet saldırısı yapmak için kullandığımız Hydra,wpscan vb bir sürü araç var ama kimi zaman bu araçlar kullanması zor olabilir yada tam olarak istedğimiz şekilde çalışmıyo olabilirler. Bu konuda size kendi Brute-force saldırı aracınızı nasıl yapıcağınızı anlatıcağım.
Önce gerekli modülleri import ediyoruz daha sonra kendi modülümüzü yazmaya başlıyoruz
Sizin değiştirmeniz geren kısımlar url ve data eğer daha önce bu tarz saldırılarda bulunduysanız zaten aşinasınızdır ama ben yinede ben yinde data kısmını nasıl doldurucağımızı kısaca anlatıcam.
Saldırıyı uyguluycağımız sitenin login paneline giriş yaptıktan sonra sağ tıklayıp incele diyoruz ve sağ yukarıdan network'ü seçiyoruz.
Ardından giriş butanuna bastığımızda sağ tarafta gördğünüz gibi sayfalar listelenecektir en baştakine tıklayarak form data bilgilerimizi bulabilir
benim form datamda kullanıcı adı "log" olark gözüküy sizinkinde farklı olabilir.
ben log un karşısına zaten bildiğim kullanıcı olan admin i yazdım
şifre bölümü "pwd" olarak gözüküyo burası deneme yapıcağım kısım olduğu için pwd nin karşılığı olarak password yazıyorum orda bizim daha sonra vericeğimiz wordlist çalışıcak
Bundan sonra useraget kısmı geliyo aynı şekilde yazabilirsiniz sistemi browserdan girdiğimize ikna etmek için.
Denen şifreleri görebilmek için print komutunu kullandık
sonrasında request modülü ile girdiğimiz bilgileri post ettik
burda önemli bir kısım var
c = kısmını önceden bulmamız gerkiyo bunun için basit bir şekilde komuza print fonksiyonu ekliyoruz bunu görsele koymadım çünkü bu şekilde tek çalıştırma yaptıktan sonra kodu silebiliriz
burada print edilen sayıyı kopyalayıp if c nin karşısına yazıyoruz
daha sonrasında ben programı döngüye sokmak için while kullandım orası size kalmış.
umarım anlatabilmişimdir ilk kez konu oluşturuyorum herkese kolay gelsin .
Önce gerekli modülleri import ediyoruz daha sonra kendi modülümüzü yazmaya başlıyoruz
Sizin değiştirmeniz geren kısımlar url ve data eğer daha önce bu tarz saldırılarda bulunduysanız zaten aşinasınızdır ama ben yinede ben yinde data kısmını nasıl doldurucağımızı kısaca anlatıcam.
Saldırıyı uyguluycağımız sitenin login paneline giriş yaptıktan sonra sağ tıklayıp incele diyoruz ve sağ yukarıdan network'ü seçiyoruz.
Ardından giriş butanuna bastığımızda sağ tarafta gördğünüz gibi sayfalar listelenecektir en baştakine tıklayarak form data bilgilerimizi bulabilir
benim form datamda kullanıcı adı "log" olark gözüküy sizinkinde farklı olabilir.
ben log un karşısına zaten bildiğim kullanıcı olan admin i yazdım
şifre bölümü "pwd" olarak gözüküyo burası deneme yapıcağım kısım olduğu için pwd nin karşılığı olarak password yazıyorum orda bizim daha sonra vericeğimiz wordlist çalışıcak
Bundan sonra useraget kısmı geliyo aynı şekilde yazabilirsiniz sistemi browserdan girdiğimize ikna etmek için.
headers= {"User-Agent": "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N} AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.182 Mobile Safari/537.36"}
Denen şifreleri görebilmek için print komutunu kullandık
sonrasında request modülü ile girdiğimiz bilgileri post ettik
burda önemli bir kısım var
bu kod kullanıcı ıd ve şifre girdikten sonra açılan sayfanın html kodlarının harflerinin toplamı bunu bu şekilde yapan tek ben varımdır heralde ama böyle daha kolay geliyo siz eğer dilerseniz html kodlarından hata kodunu bulup ona göre yapabilirsinizc=str(len(response.content))
c = kısmını önceden bulmamız gerkiyo bunun için basit bir şekilde komuza print fonksiyonu ekliyoruz bunu görsele koymadım çünkü bu şekilde tek çalıştırma yaptıktan sonra kodu silebiliriz
c=str(len(response.content))
print(c)#silinicek kod
burada print edilen sayıyı kopyalayıp if c nin karşısına yazıyoruz
daha sonrasında ben programı döngüye sokmak için while kullandım orası size kalmış.
umarım anlatabilmişimdir ilk kez konu oluşturuyorum herkese kolay gelsin .