ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   сбор шеллов с ботнета (sqli) (https://forum.antichat.io/showthread.php?t=391258)

exodus.cpp 11.08.2013 14:12

ясно, что более менее крупный ресурс скорее всего сломать автоматически не получится, много ручками придется.

однако есть дофига программ, скриптов тестирующих сайты на sql инъекции.

как ими обычно пользуются - загружают список урлов (откуда их кстати брать? просто с гугла все сподряд?), и ждут пока прога набрутит где-нибудь что-нибудь - а дальше уже вручную разбираются.

изъян - скорость, с одного компа много не набрутишь.

хочу узнать, брутят ли люди ботнетами? посоветуйте хорошие тулзы, которые хорошо справляются с определением наличия sqli. (как бы это не звучало, желательно просто ему url указать, а он спайдером сам пройдется и все посмотрит)

qaz 11.08.2013 14:19

Цитата:

Сообщение от exodus.cpp
ясно, что более менее крупный ресурс скорее всего сломать автоматически не получится, много ручками придется.
однако есть дофига программ, скриптов тестирующих сайты на sql инъекции.
как ими обычно пользуются - загружают список урлов (откуда их кстати брать? просто с гугла все сподряд?), и ждут пока прога набрутит где-нибудь что-нибудь - а дальше уже вручную разбираются.
изъян - скорость, с одного компа много не набрутишь.
хочу узнать, брутят ли люди ботнетами? посоветуйте хорошие тулзы, которые хорошо справляются с определением наличия sqli. (как бы это не звучало, желательно просто ему url указать, а он спайдером сам пройдется и все посмотрит)

ну, слово брутят тут не очень подходит, просто софтом собирают урлы по дорку и другим софтом чекают, потом ручками или херн1 всякой крутят дальше. такой софт есть в паблике, полноценные боты которые сами собирают урлы, чекают на дыру, сливают БД и тд тоже есть, но в паблике такого врятли найдёшь, лично я себе сам писал.

dawnofneptun 11.08.2013 17:14

видел распредбрут джумлы\вп\дле и вроде фтпшек ещё в продаже на другой площадке

но сейчас брутабельные уже сняли многие сайты так как много вышло брутфорсов

а по раскрутке не видел но есть точно и самопис как выше написали но кто сам писал тому хватит мозга не продавать такое меньше чем за 10к

exodus.cpp 11.08.2013 18:34

ок, а урлы жертв то в основном где берут?

Unknown 12.08.2013 22:42

в основном google dork's, также берут по конкретной тематике в том же гугл, бинг и яндекс... тут уж кто что именно ищет

Hracid 14.08.2013 15:58

Arachni из набора Kali linux.

сам формирует список урлов.

сканирует на XSS и пр. настраиваешь как сканировать сам.

очень удобно.

тестировал на заведомо дырявых ресурсах. находит. =)


Время: 19:02