сбор шеллов с ботнета (sqli)

Discussion in 'Уязвимости' started by exodus.cpp, 11 Aug 2013.

  1. exodus.cpp

    exodus.cpp Banned

    Joined:
    15 May 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    ясно, что более менее крупный ресурс скорее всего сломать автоматически не получится, много ручками придется.
    однако есть дофига программ, скриптов тестирующих сайты на sql инъекции.
    как ими обычно пользуются - загружают список урлов (откуда их кстати брать? просто с гугла все сподряд?), и ждут пока прога набрутит где-нибудь что-нибудь - а дальше уже вручную разбираются.
    изъян - скорость, с одного компа много не набрутишь.
    хочу узнать, брутят ли люди ботнетами? посоветуйте хорошие тулзы, которые хорошо справляются с определением наличия sqli. (как бы это не звучало, желательно просто ему url указать, а он спайдером сам пройдется и все посмотрит)
     
  2. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,654
    Likes Received:
    173
    Reputations:
    75

    ну, слово брутят тут не очень подходит, просто софтом собирают урлы по дорку и другим софтом чекают, потом ручками или херн1 всякой крутят дальше. такой софт есть в паблике, полноценные боты которые сами собирают урлы, чекают на дыру, сливают БД и тд тоже есть, но в паблике такого врятли найдёшь, лично я себе сам писал.
     
    #2 qaz, 11 Aug 2013
    Last edited: 11 Aug 2013
  3. dawnofneptun

    dawnofneptun New Member

    Joined:
    13 Jul 2013
    Messages:
    8
    Likes Received:
    0
    Reputations:
    -5
    видел распредбрут джумлы\вп\дле и вроде фтпшек ещё в продаже на другой площадке
    но сейчас брутабельные уже сняли многие сайты так как много вышло брутфорсов
    а по раскрутке не видел но есть точно и самопис как выше написали но кто сам писал тому хватит мозга не продавать такое меньше чем за 10к
     
  4. exodus.cpp

    exodus.cpp Banned

    Joined:
    15 May 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    ок, а урлы жертв то в основном где берут?
     
  5. GhostW

    GhostW Member

    Joined:
    17 Oct 2012
    Messages:
    209
    Likes Received:
    46
    Reputations:
    33
    в основном google dork's, также берут по конкретной тематике в том же гугл, бинг и яндекс... тут уж кто что именно ищет
     
  6. Hracid

    Hracid New Member

    Joined:
    18 Nov 2010
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Arachni из набора Kali linux.
    сам формирует список урлов.
    сканирует на XSS и пр. настраиваешь как сканировать сам.
    очень удобно.
    тестировал на заведомо дырявых ресурсах. находит. =)
     
Loading...