Site hosted by Angelfire.com: Build your free website today!

Form@ tutorial by Leszcz v.1.01

Wychodzac na przeciw spolecznemu zapotrzebowaniu :) slow kilka o Formie@.
To jest BETA-Tutorial, z góry przepraszam za niescislosci i niedopowiedzenia.
Poprawki i komentarze mile widziane.

Form@ to najlepszy chyba z obecnych aktualnie na rynku progsow do lamania sajtow HTML, najlepszy ale zawierajacy sporo bug-ow niestety.
Od czego zaczniemy?
no proponuje od zassania samego progsa, versja najbardziej dopracowana jest tu :
FORM@
Po rozpakowaniu mamy taki oto widok w kolorach blue :)

Form@ rysunek 1


Lecimy po kolei po zakladkach

File >> Load Wordlist - ladujemy swoja Wordliste
             Exit - to moze za chwile :)

Settings >> General Options - tutaj w zasadzie interesuja nas tylko 2 pozycje:

general options


Speed - ustawiamy w zaleznosci od przepustowosci naszego lacza,  serwera ktory bedziemy hmmm ... testowac
 i najwazniejsze - od ilosci proxy ktore posiadamy !! Mamy mozliwosc ustawienia do 1500 bots"ow...  to troche duzo :)
  Mysle ze tak pomiedzy 15 a 30 powinno wystarczyc.

Timeout - wartosc ktora ustawimy rowniez zalezy od w/w czynnikow, 10s jest chyba ok
Pozostale ustawienia pomijamy gdyz nie bedziemy z nich korzystac a zreszta sa one niemodyfikowalne :)
Naciskamy Done i lecimy dalej.

Settings >> Proxy Manager

proxy


W Proxy Options koniecznie Multiple Proxies a nastepnie Load Proxies - ladujemy swoja liste prosiaczkow:)

I tu slow kilka. Generalnie czym wiecej prosiakow tym oczywiscie lepiej, Form@ jest niestety kaprysny i nie przyjmuje duzych list proxy, duzych tz
tak powyzej 2000, zwiesza sie lub przyjmuje tylko czesc IP z listy.
Dlatego tez warto zapodac mu tylko te proxy co do ktorych jestesmy absolutnie pewni
ze zostana przyjete przez sajcik ktory hmmm.. jak juz pisalem chcemy przetestowac w celach edukacyjnych ofcourse. Do przetestowania naszej
listy prosiakow pod katem danego URL niezlym progsem jest ProxyHunter. Gotowa liste dzialajacych proxy zapisujemy w nowym pliczku txt i ladujemy do Forma@
Pozostale opcje z zakladki Proxy Manager pomijamy gdyz sa watpliwej jakosci, naciskamy Done i lecimy dalej.
Ach... nie musze pisac ze interesuja nas proxy anonimowe, optimum Level 1-2,  ostatecznie 3
Doskonala kopalnia prosiakow jest pod
hxxp://lonsdaleproxies.cjb.net/ - dzieki vap !

Wracamy do glownego okna Forma@ i przechodzimy do sedna sprawy.
W okienku URL to Attack wpisujemy ..... oczywiscie URL ktory nas interesuje w formacie:
http://site.com/login.html  i wciskamy start.
Pojawia sie nam okienko Form Analisys i jesli wszystko poszlo sprawnie powinno to wygladac tak:

forma4


W okienkach: Form Action, Form Method, UserName Fields, Password Fields, Additional Data mamy dane ktore Form@ potrzebuje do dalszej pracy.
Jesli sajt wymaga ciasteczek okienko Cookies zapelni sie jakims badziewiem :)
Czasem z jakiegos blizej nieznanego powodu analiza nie jest mozliwa, zmieniamy wtedy proxy przyciskiem
Switch Proxy na kolejne na liscie i wciskamy Reanalise Form.
W sytuacji kiedy na stronie sa dwa lub wiecej formularzy do wpisywania danych, Form@ po analizie zapyta nas ktory formularz ma testowac pokazujac
jednoczesnie jego kod zrodlowy, przegladajac te dane szukamy slow w stylu Login, Password, User itd
Jezeli Form@ zanalizowal sajcik wciskamy Use This Data i przechodzimy do panelu Hit Detection Settings.


forma5

Co my tu mamy?
Failure Keywords - tu wpisujemy slowo lub slowa ktore pojawiaja sie na stronie w przypadku jesli wpiszemy wadliwy  Username lub Password.
To jest dosc wazny moment bo od wlasciwego wypelnienia tych pol zalezy nasz sukces!! A wiec: wchodzimy na sajcik np: http://sajt.com/login.php
w oknie login wpisujemy: costam, w oknie password: costam i wciskamy enter. Zostaniemy przezuceni do strony z uprzejma informacja ze oczywiscie pomylilismy sie
przy wpisywaniu naszych poufnych danych, musimy sie dobrze przyjrzec tej stronce i wybrac z niej slowo ktore mamy nadzieje nie wystepuje na
stronie w przypadku kiedy podalibysmy prawidlowy login i pass !! Czesto takim slowem jest Invalid, Incorrect
lub cos w tym guscie.
Mozemy wpisa cala fraze np:"Sorry this login or password is incorrect" ale znacznie wydluzy to analize.
Czasem sajt posiada 2 -3 rozne informacje o bledzie w logowaniu
musimy wtedy wpisac 2- 3 rozne slowa.
W celu sprawdzenia czy dobrze wybralismy wciskamy przycisk Test i po krotkiej chwili powinnismy miec informacje:

Failure Keywords detected on 1 attempts

Success Keywords - o ile mamy juz wjazd na dany sajt, mozemy wybrac ze strony na ktora zostalismy przezuceni po poprawnym zalogowaniu sie
slowo ktore tam wystepuje np: Welcome. Nie jest to jednak konieczne.
Blocking Keywords - wypelnienie tego pola (nie jest konieczne) uchroni nas przed falszywymi trafieniami. Czesc sajtow po kilku nieudanych probach
zalogowania przezuca nas na strone na ktorej np widnieje napis Wypaluj sie hackerze :)
Nie zwlekajac wiec, wpisujemy Wypaluj w naszym okienku.

Jesli wszystko mamy wpisane i przetestowane wciskamy w koncu upragniony Launch Attack.
W panelu Attack Status widzimy kolejne proby testowania naszego sajtu, w lewym dolny rogu mamy liczbe przetestowanych kombinacji z naszej
wordlisty lamana przez calkowita ilosc kombinacji w niej zawarta, np: 23/25686.
Jezeli wszystko idzie dobrze pierwsza cyfra oczywiscie rosnie :)
Przy odrobinie szczescia po krotkim czasie w zakladce Hits pojawi sie nam cos ciekawego :)  i tu wazna uwaga.

Form@ automatycznie nie zapisuje trafien do pliku!!

musimy zrobic to sami w zakladce Hits>Save.
W przypadku powieszenia sie Windozy, samego Forma@ lub przypadkowego zamkniecia progsa
bez zapamietania trafien - tracimy wszystko.
Uciazliwym Bugiem jest sytuacja w ktorej przed przetestowaniem calego slownika zdechna nam wszystkie proxy. Otrzymamy monit ze nie mamy juz
zadnych zyjacych prosiaczkow z przyciskiem ok do klikniecia i tu uwaga! zapamietujemy przed wcisnieciem ok liczbe przetestowanych combo.
Pomimo przetestowania np 500 kombinacji z ilustam tysiecy Form@ zapamieta ze przetestowal tylko kilkadziesiat! Coz pozostaje?
W katalogu w ktorym mamy naszego Forma@ w podkatalogu Savedata musimy odszukac pliczek
z nazwa naszego testowanego sajtu np: wwwsajtcom.dat, edytujemy go notatnikiem i recznie wpisujemy zapamietana przez nas liczbe w pozycji - NUMDONE:
Za kazdym razem do już wczesniej zapisanej tam liczby z poprzedniej sesji musimy dodac tę przetrawiana przez Forma@ obecnie - upierdliwe ale ja nie znalazlem innego wyjscia.

Hmmm to chyba wszystko co mi przychodzi do glowy.
Dziękuję wszystkim znajomym i wrogom za wsparcie i cierpliwość oraz za wkład w ten tutorial
Dzięki spliff , bez Ciebie to by się nie narodziło.


Leszcz


Copyrights © .:.2k3p0L:sh4d0w3d.:. 2001++2003