Взлом ВК Брутфорсом / Программа для взлома ВК


Брутфорс – грубая сила, взлом перебором
В статье "Взлом ВК" было сказано, что взломать вк брутфорсом (программой) – невозможно.
Это не совсем так, лазейки всё таки-есть…
Ниже будет приведен рабочий скрипт, но сначала…


Внизу статьи - бесплатная прога для генерирования брут словаря и листинг "топ лоховских паролей"


Заранее делаю оговорку, что речь идет о классическом «переборе» без всяких алгоритмов PBKDF2, без разбора хэширования sha , т.к. на бытовом уровне это неподъемная задача.


В сети гуляют множество программ «для взлома ВК перебором (брутом)»

Какую выбрать? Какая поможет (без вреда мне же)?
- Никакая

Каждый аккаунт ВК требует персонального подхода и шаблонные проги из сети -это всё лажа, развод, фуфло.


Сейчас сами поймете почему. Мат.часть кратко.

Минимальная длина пароля ВК – 6 символов.

Пароль обязательно должен содержать:
 цифры (0-9 – 10 вариантов),
 буквы (a-z – 26 в латинице),
 заглавные буквы (A-Z – тоже 26)

Итого на каждый символ – 10+26+26=62 (!) варианта, поэтому количество комбинаций для:
6-и символьного пароля – 56 800 235 584 (56,8 миллиардов) 
7-и символьного пароля – 3 521 614 606 208 (3,5 триллионов) 
8-и символьного пароля – 218 340 105 584 896 (218 триллионов) 
9-и символьного пароля –13 537 086 546 263 600 (ХЗ как это называется)))) 

Длину пароля мы не знаем, поэтому брутить придется диапазон хотя бы из 6-8 символов
Итого: 6+7+8 символов = 221 918 520 426 688 (222 триллиона) вариантов

Допустим у вас достаточно хороший комп, но возникает вопрос – сколько запросов к серверу ВК он сможет сделать?
 Какая скорость перебора у домашнего компа?

Подсчитаем. Для этого откроем командную строку (Пуск – стандартные-Командная строка  или запустим процесс cmd.exe)
Вбиваем команду ping vk.com, получаем ответ сервера

ping vk
«Ответ от …..время  134мс» (это у меня, у вас время может отличаться)

Время пинга – это время за которое сигнал идет от нашей машины до сервака и обратно

В одной секунде 1000 миллисекунд (мс), поэтому 
Скорость брута с вашей машины (запросов/сек) будет = 1000/время ответа 
В моём случае 1000/134мс = 7,4 запроса (пароля) в секунду

Сколько же времени займет перебор паролей для ВК?

Напомню, что мы перебираем  221 918 520 426 688 (222 триллиона) вариантов пароля.

Поэтому, чтоб узнать сколько мы будем взламывать пароль ВК перебором  делим количество на скорость, т.е. 

221918520426688 пароля / 7,4 пароля в секунду = 29737081737176сек = 495618028953 мин = 8260300483 часов = 344179187 дней = 942957 лет

Вывод: реальная программа для взлома ВК могла бы подобрать пароль перебором за 94 тысячи лет.


Вопрос: А как же видео на ютюбе, в которых чудо-проги брутят страницу ВК за несколько минут/часов? 
Отвечаю: Это развод созданный с целью заражения вашего компа для кражи ваших же данных. Не больше – не меньше.


Можно значительно ускорить процесс перебора!
Для этого нужно:
1. Повысить вычислительную мощность. Например, заразить 1.000.000 чужих компов и со всех одновременно брутить ВК (аж смешно)
2. Укоротить брут-словарь до, например, пары тыщ.(по принципу социальной инженерии)


Как сделать брут-словарь?
1. Ручками в программе блокнот  (notepad.exe)
2. Прогой «генератор брута» (ссылка внизу статьи)

Этот брут – словарь наполняем реальными вариантами.

Реальные  – это такие, которые хоть как-то связано с взламываемым человеком:

- телефоны (его, его родственников, друзей)
Пример - номера с +7с,  8кой, без 8ки – попадается редко

- даты рождения (его, его родственников, близких)
Пример - (одной и той же даты) 010118, 01012018, 20180101, 180101 – попадается часто

- Имена любимых, близких
Пример - SashaMaria, MariaIvanova, SaNoMaIv – попадается средне

Название сайта (или фамилия) на другой раскладке
Пример, если набрать слово «vkontakte» на русской раскладке, то получится – «млщтефлеу» - такая схема ну очень часто попадается на всех сайтах.

- лоховской список паролей для брута (список самых распространенных паролей в сети - ссылка в конце статьи)

Долго ли писать словарь? Ну, не очень – полчаса за глаза хватит. А кто сказал что будет легко?))

Допустим у нас есть созданный брут словарь и рабочая прога для подбора пароля ВК (либо ручной ввод по словарю).

Возникает одна важная проблема – система защиты сервера.

Собственно помеха её заключается в том, что при слишком частых запросах сервер тупо блокирует (временно) ваш IP. Кроме того, если вы работаете с ВК через стандартную форму ввода (HTML\FORM), то после 3 ей неудачной попытки ВК будет просить ввести капчу.

В старой версии ВК можно было просто перейти на мобильную версию – m.vk.com, теперь же мобильной версии как таковой нет – в 2016 году сделали единый адаптивный дизайн.

Как обойти капчу Вконтакте?

ВК требует ввод капчи после 3 неудачной попытки (перезагрузка F5 не помогает), а как он узнает что это именно вы делаете несколько попыток входа?

- по IP
- по кукам (cookies), кэшу и JavaScript

Значит, нам не реже чем через 3 запроса нужно менять IP и чистить куки.

С куками, кэшем и JavaScript нет проблем – их можно просто отключить в настройках браузера. 

IP можно менять установив прогу по смене IP – в этом нет ничего мудреного, в сети их полно (Гугл в помощь)

Можно пользоваться браузером  TOR (кто не знает – это браузер для анонимного гуляния по сети, он же меняет IP-шники при каждой новой сессии, полезная штука особенно для тех кто сёрфит или работает в САР)

Но почти полностью сводит на нет все попытки перебора ГЕОлокация.

Сервер ВК запоминает откуда (географически) был произведен последний вход.

И если ваш IP из другого населенного пункта, то (возможно) будет выскакивать надпись:

"Вы пытаетесь зайти под именем  Ивана Иванова из необычного места."

Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.


Скрипт для брута web-форм (типа, Прога для взлома ВК)


Важно! На сервере ВК стоит скрипт отслеживающий частоту отправки пакетов, т.е. если вы будете долбить со скоростью N раз/сек – вас автоматически отправят в бан лист по IP.
Также ВК использует ГЕОслежение.


Без динамического IP брутить не стоит и пытаться, может помочь VPN.
Лично я считаю перебор паролей ВК делом малоперспективным, но для ценителей выложу старенький скрипт на Перл’е, позаимствованный у 5p4x2knet a.k.a. Apocalyptic's и немного пофиксеный.


Скрипт работает методом  POST только по двум параметрам – login и пароль

Если логин известен (например, номер телефона), то соответствующие поля просто заполните значением без обращения к словарю.

Скрытые поля – капчу, картинки скрипт не передаст, скрывайте источник запросов (себя) как описано выше.

Тут нам пригодится вменяемый брут-словарь, который мы составляли в начале статьи. (назовем его, к примеру, brut.txt)

Также нужен файл, из которого наша программа будет получать информацию.

Программа будет вести брутфорс всех скриптов указанных в этом файле.(infa.txt). Если скрипт один, то можно заменить 

Естественно, файл для записи результатов (result.txt)

Итак,
{
#подключаем объект
$usagent = LWP::UserAgent 
#открываем файл с информацией (если не можем его открыть то выходим);
# скидываем файл в массив @infa и закрываем. (если скрипт один, то его можно  сразу указать)
open(INFA, ";
close(INFA);

#открываем брут-словарь
open(BRUT, ";
close(BRUT);

#открытие файла с результатами (дописывает в конец). 
open(RESULT, ">>$ARGV[2]");
#начало цикла 
foreach $name (@infa) 
{

#отделяем URL, login, переменные и инфу об ошибках
($url, $login, $log_vr, $pwd_vr, $failed) = split(//, $name);
#показываем URL
print "$url...n"; 
#запуск ещё одного цикла
 foreach $brut (@brut) 
{

#убиваем пробелы и переводы строк
$pss =~ s/ //;
$pss =~ s/n//;

#подключаем новый объект
$usagent = LWP::UserAgent->new();
#создание запросов. 
$req = HTTP::Request->new(POST=>$url);
$req->content_type('application/x-www-form-urlencoded');
$req->content("$log_vr=$login&$pwd_vr=$pss");

#и егоотправка
$result = $usagent -> request($req);
#запись результатов в переменную
$res = $result->content;
#если не получилось формируется сообщение об ошибке
if($res!~ /$failed/i)
{

#вывод сообщения с паролем; запись в результы;
print "brutword found. It isn$pssnn";
print RESULT "URL: $urlnLOGIN: $loginnBRUT: $pssnn";

#иначе продолжение подбора
last;
}
}
}

#закрытие файла result.txt
close(RESULT);


Обещанные ссылки. Нажми для скачивания.

Брут словарь (топ лоховских паролей) (1.83 Kb)

Прога "Генератор брута" (для создания своего брут словаря) (690 Kb)


Есть вопросы? Вы можете задать их на ФОРУМЕ.