Forcebrut nextcloud

Test brute force avec dictionnaire nextcloud et phpmyadmin

test 1) nextcloud

je lance http://127.0.0.1/nextcloud/index.php/login

mes logins de connexion sont admin et password

[pic 1]

j’inspecte les 4 éléments nécessaire :

- form du formulaire  et method=’post’

[pic 2]

- name de l’entrée ID

[pic 3]

- name de l’entrée mdp

[pic 4]

je créer un fichier force.py qui contient le script suivant

…..fin du script[pic 5][pic 6]

creation d’un fichier wordlist.txt  qui va servir de dictionnaire pour brut force

et qui contient mon mot de passe ici «password»

[pic 7]

j

je lance dans le terminal : python force.py wordlist.txt

[pic 8]

qui me retourne =>

  File "force.py", line 15, in

    br.select_form(name="login")

  File "/usr/lib/python2.7/dist-packages/mechanize/_mechanize.py", line 524, in select_form

    raise FormNotFoundError("no form matching "+description)

mechanize._mechanize.FormNotFoundError: no form matching name 'login'

root@zeubi-VirtualBox:~#

ce qui signifie que le script n’arrive pas à trouver le formulaire sur la page

http://127.0.0.1/nextcloud/index.php/login

plusieurs modifications sur le script ont été faite et testés , le script retourne toujours la même erreur , j’ai demandé à des collegues en dev qui m’ont fait tester des modifications du script mais il retourne encore et toujours la même erreur

=> désactivation du module de protection brute force de nextcloud puis nouvel essai mais

toujours même erreur

test 2) nextcloud : je conserve les éléments de la page du formulaire de connexion

method ‘post’                                       je vais avoir besoin en plus pour ce script du

                                                             nom de l’élément d’erreur lors d’une connexion

form ‘login’                                          avec un mauvais mot de passe :

                                                             après inspection le nom est ‘Error’

name ‘user’

 name ‘password’

name ‘Error’

j’utilise un script différent pour tester  que je nomme bruteforce.py

… suite du script[pic 9]

[pic 10]

je lance désormais python bruteforce.py wordlist.txt

[pic 11]

qui me retourne toujours la même erreur

j’ai fais des recherche  concernant le module mechanize de python et

certaines pages avec du code html invalid ne lui permet pas de fonctionner

j’ai donc fait des test en suivant ce qu’indiquait une page web

[pic 12]

[pic 13]

j’ai réalisé plusieurs test en fonctions des éléments si dessus et toujours rien

test 3)  ayant fait plusieurs test avec les deux scripts plus haut et beaucoup de modifications pour voir si l’erreur allait être corrigé j’ai décidé d’essayer de bruteforce une autre page pour voir si le problème venait de la page nextcloud :

la  page http://127.0.0.1/phpmyadmin/index.php     

[pic 14]

donc je refais les première étape pour trouver les informations concernant le formulaire phpmyadmin :

- form du formulaire et method ‘post’

[pic 15]

- form id

[pic 16]

- form mdp

[pic 17]

et nom de l’erreur :

[pic 18]

 a donc =>

 method ‘post’

 name=’login_form’

 name=’pma_username’

 name=’pma_password’

 id=’pma_errors’

je reprend ensuite le deuxième script utilisé plus haut car le premier script renvoyait sa réponse en fonction de l’url qui arrive après hors sur phpmyadmin lorsque l’on se connecte à la page localhost.phpmyadmin.index.php reste index.php

je modifie le deuxième script en conformité avec mes nouvelles données :

[pic 19]

 ….suite du script

[pic 20]

je lance python bruteforce2.py wordlist.txt

[pic 21]

qui me retourne toujours la même erreur

donc  =>

test4)

#!/usr/bin/python

""" +============================+

    |           Gepyt            |

    |            2.0             |

    |                            |

    |         BY YARFLAM         |

    |                            |

    |       Copyright 2012       |

    |          GNU/Linux         |

    |                            |

...