Witam wszystkich ostatnio zacząłem próbować swych sił w C-Force...ale nie potrafie zrozumieć działania programu:(
Czy ktoś zna strone gdzie jest to wszystko wytłumaczone...?
Bo chciałbym wspomóc chłopaków.....bo zycie jest cieżkei a hasełek malutko:D

to jest filmik z Tutorialem jak korzystać po ang


.....................................................................................................................................................................
Krótki opis:
Po wypakowaniu instalujemy go w windowsie , otwieramy i przechodzimy do opcji "Auto"

Url- wpisujemy strone np.:

Proxy list - wrzucamy nasz? liste i tu wa?ne proxy musi by? dobra najlepiej codziennie generowa? now? " nie u?ywa? kilku dniowych" bo cz?sto tracicie czas! bo wi?kszo?ci jest martwa .Pobierzcie se "Proxy switcher standard" kt?ry jest na Forum i nim testujcie i generujcie co dziennie proxy to naprawd? zajmuje chwile a daje du?o.

Combo list- tu wrzucamy swoja liste z has?ami

Bots - nie zmieniajcie niech zostanie 10 to ilosc hase? sprawdzanych jednocze?nie przez program pszy wi?kszej ilo?ci jest mniej dok?adny i si? wiesza.

Oczywi?cie program ma jeszcze wiele innych funkcji ale co nas one obchodz? wa?ne ?eby si? w?ama? na stronne i wygenerowa? has?a.
Mam na dzieje ze Joker doko?czy m?j ma?y opis a jak nie to ja doko?cz? jak tylko b?d? mia? czas nad nim po pracowa?

Uwagi odno?nie programu z w?asnego do?wiadczenia:
- nie tw?rzcie milionowych kombos?w bo nie ras si? wiesza lepiej kilka mniejszych.
- program obci??a siec ,wiec nie u?ywajcie stu rzeczy noras bo wam si? zawiesi ,to wina tego ze jest instalowany w windowsie.
- nie wszystkie wyrzucone strony przez niego dzia?aj? , najcz??ciej gdy dzia?aj? pisze wellcom tu members arene cos takiego

Uwagi dla pocz?tkuj?cych:
nie ?amcie jaki? trudnych stron na pocz?tku bo si? tylko zrazicie wybierajcie prostsze strony a z czasem zwi?kszajcie poziom trudno?ci pr?buj?c trudniejsze.

mo?e ci? tez robi? w?asne comba do nie kt?rych stron np.:

w tej stronie " www.puresinn.com/members/welcome.php"

login wygl?da tak "y4kuz4" a has?o "areyukesc" wiec piszez np.:

y4kuz4:areyukes
y4kuz4:areyuke
y4kuz4:areyuk
y4kuz4:areyu
y4kuz4:arey
y4kuz4:are
y4kuz4:ar
y4kuz4:areyukes1
y4kuz4:areyukes2
y4kuz4:areyukes3
y4kuz4:areyukes4
y4kuz4:areyukes5
y4kuz4:areyukes6
y4kuz4:areyukes7
y4kuz4:areyukes8
y4kuz4:areyukes9
y4kuz4:areyukes10
y4kuz4:areyukes12
y4kuz4:areyukes100
y4kuz4:areyukes13
y4kuz4:areyukes14
y4kuz4:areyukes15
y4kuz4:areyukes16
y4kuz4:areyukes1111
y4kuz4:areyukes111118
y4kuz4:areyukes18
y4kuz4:areyukes19
y4kuz4:areyukes20

i sprawdzasz czy kt?re? dzia?a nieraz ma?a stworzona przez siebie lista pod dan? stronne daje 100% sukcesu a wtedy pe?no masz hase?.

Podstawy:

Podstawowe kroki we włamywaniu się na stronę. Te kroki musicie wykonac:

1) Znalezc adres strony dla płacacych czlonkow: member-url
2) Znalezc proxy (dużo)
3) Znalezc przyzwoita liste slow (wordlist)
4) Przetestowac proxy odnosnie ich anonimowosci
5) Przetestowac proxy względem danej strony
6) Przetestowac liste slow względem danej strony

Wyjasnie to dla C-Force (dla innych narzedzi jest wiele podreczników)

1) Znajdz member-url
W wiekszosci przypadkow jest to url który generuje wyskakujące okienko w którym wpisujemy username i password lub url który prowadzi do formularza, który trzeba wypełnic wpisujac username and password (ale jeśli pojawia się tam także obrazek, z którego trzeba odczytać cyfry lub litery, sprawa staje się najczęściej o wiele bardziej skomplikowana, gdyż jak dotąd c-force nie obsługuje OCR). Zazwyczaj jest taki link na glownej stronie witryny.

2) znajdz proxy
Najprostszym sposobem jest skopiowanie ich z dump section z roznych forum. Jednak można tez przeszukac Google (np wprowadz "xxx.xxx.xxx.xxx.8080" gdzie w miejsce xxx.xxx.xxx wprowadzasz IP dzialajacego proxy, a wynik cie zaskoczy. Zauwaz tez kropke "." przed 8080. Jeśli przejrzysz rozne fora z pewnoscia znajdziesz inne narzedzia, które pozwola ci zbierac proxy z internetu.

3) znajdz przyzwoita liste slow
Przeszukaj ponownie dump section roznych for. Jeśli chcesz mieć naprawde dobra liste musisz spedzic troche czasu na szukaniu i filtrowaniu. Jestm pewny, ze na tym forum znajdziesz tez inne watki gdzie dokladnie opisane jest jak zbudowac wlasna liste.
Kilka wskazowek. Po pierwsze musisz uzyc hasel (combo) które sa zwiazane z tematem strony, która testujesz. Jeśli chcesz testowac strone dla milosnikow duzych piersi, tracisz czas korzystając z hasel wlasciwych dla strony dla gejow. Ponownie powinienes przede wszystkim przeszukac Google. Możesz np. szukac member-url w google... sa tez duze szanse, ze znajdziesz haselka dla strony, ale wszystkie martwe – wykorzystaj te hasla do szukania w google nowych hasel. Z pewnoscia znajdziesz inne listy loginow i hasel. Teraz trzeba zaczac filtrowac wyniki. Wiem ze istnieja narzedzia, tylko ze ich nie znam, bo zazwyczaj wykorzystuje wlasne narzedzia, np. Unirippera do filtrowania okreslonych stron z listy (jeśli chcesz wejsc na strone z mlodymi dziewczynami, hasla ze strony ze slowami teen lub girl sa cenniejsze, a dla strony z piersiamik możesz wykorzystac slowa: boob, tit, tits, boobies i tak dalej). Nastepny krok to przejrzenie hasel – ponownie wykorzystuje Uniripper i niekiedy ZiFi. Ale powtarzam, tak ja robie i na pewno znajdziesz narzedzia, które sa prostrze w wykorzystaniu.

4) Testuj proxy odnosnie anonimowosci
W tym celu można wykorzystac C-Force. Wgraj swój plik tekstowy z proxy do C-Force. Upewnij się, że masz działające aplikacje testowe (judge) na swojej liscie (judgelist) (settings-tab).
(przykładowy link do strony, gdzie takie aplikacje są wymienione, to ProxyJudge V2.35 | AZ Environment variables 1.04 | My-Proxy PHP Proxyjudge 1.01 | CGI ENVIRONMENT | Textenv - [IPMaster.org] ).
Aby mieć 100% pewnosc, ze aplikacje te dzialaja, przetestuj je w swojej przegladarce (po prostu połącz się z daną stroną korzystając z proxy i sprawdź, czy nazwa tego proxy pojawia się na wygenerowanej stronie - patrz też tutorial Buda) a potem wstaw je na sam poczatek swojej listy (wykorzystaj menu podreczne dostepne prawym przyciskiem myszy na judgelist a by przesujac link na sama górę
Jeśli nie przetestujesz swoich aplikacji, C-Force sprobuje wykorzystac aplikacje z twojej listy jedną po drugiej, aż znajdzie IP's na wygenerowanej stronie, a wówczas wykorzysta aplikację do przeprowadzenia testu, ale niej jest to gwarancją, że aplikacja rzeczywiscie dobrze działa. Najlepiej jest wykorzystac przegladarkę w tym celu.
Istnieja także inne dobre narzędzia do testowania proxy. Charon napisany przez Rhino może być uruchomiony z wewnatrz C-Force ale jest także Proxyrama autorstwa Gaamoa lub AAtools.
C-Force zatrzyma proxy, które nie zwracaja własnego IP i usunie tzw. gateway proxy(zakresy proxy, które pokazują to samo IP)
Po tym teście uzyskasz listę różnych IP i możesz rozpoczac właściwy test.

5) Testyj proxy względem witryny
Nie możesz ustawic w C-Force takiej opcji po prostu dlatego, że C-Force wykonuje to automatycznie w trakcie testowania. Po co robic to osobno, skoro można to zrobic w trakcie samego testu?
Jeśli naprawdę chcesz, możesz wykorzystac w tym celu Charona. Przyspieszy to nieco test w C-Force ale pamiętaj, że różnica będzie ostatecznie bardzo mała. Teoretycznie C-Force powinien być szybszy ponieważ pierwsze połączenie za pomocą działającego proxy jest jednoczesnie wykorzystane do testowania proxy względem witryny i to połączenie jest zmarnowane... tak więc wszystko zależy od tego jak na to patrzysz.

AUTO-TAB:

Jest to najważniejsza część C-Force, powinna ona obsłużyc 95% wszystkich witryn wykorzystujących formularze & pop up do weryfikacji. Możesz tu wprowadzic member url, listę proxy oraz listę słów.
(upewnij się, że przetestowales proxy względem ich anonimowosci).

Potem naciśnij start.
C-Force samodzielnie wykryje rodzaj strony (formularz/strona podstawowa) i wykryje właściwe: ‘postdata’, ‘refresh handling’ i ‘keywords’ (słowa kluczowe).

C-Force wyswietla "hit" (trafienie).... i co teraz???

1) nacisnij prawy przycisk myszy na trafienie i uzyskasz nowe menu.
2) wybierz "show info in debug" (pokaz informację odnosnie debugu) i zobaczysz zawartość listy. Jeśli jest to strona członka, wówczas masz działające hasło i radzę, byś nic dalej nie robił. Ale jeśli nie jest to taka strona, wróc do auto-tab, nacisnij prawy przycisk i wybierz "Mark as failure". Wówczas C-Force dopasuje swoje słowa kluczowe i tego typu chybione trafienia więcej się nie pojawią.
Może to być także zawartość związana z proxy – wróc wówczas do auto-tab, nacisnij prawy przycisk myszy i wybierz "Mark as proxy-block".

Jeśli chcesz sprawdzic w swojej przeglądarce uzyskane trafienie, możesz nacisnąc przycisk „>>>>>".

PRO-TAB:

W większosci przypadków nie potrzebujesz tego panelu. Jak dotąd potrafiłem zrobić wszystko, czego potrzebowałem wykorzystując auto-tab, ale wprowadziłem pro-tab do programu tak, aby nie było takiej strony, która potrafi się przeslizgnac przez moduł detekcji C-Force.
C-Force potrafi obsłużyc twoje własne słowa kluczowe (failure, success, block) właśnie w panelu pro-tab.

szybkość/ sztuczki/ co wolno a czego nie:

1) szybkość

C-Force porównywano zarówno z AD jak i Sentry pod tym względem i okazało się, że jest porównywalny do nich. Szybkość zalezy przede wszystkim od:
- wykorzystanych proxy (szybsze proxy i większa ich ilosc to lepsze narzędzie)
- liczby powtórzeń (mniej powtórzeń to C-Force szybszy ale mniej precyzyjny)
- szybkosc testowanej strony (powolne strony sprawią, że każde narzędzie będzie wolne)
- liczby danych w zwróconej zawartości (duże strony będą wolniejsze poneważ wykorzystują GET)
- debugmode (korzystaj z tego tylko, jeśli naprawdę potrzebujesz, bo bardzo spowalnia to proces)

2) Sztuczki

Nie ma ich za wiele w CF, ale tutaj jest kilka:
- dla szybkiej analizy odznacz opcje "autofind analyse proxy", "use proxy for analyse" and "check for blocking pages" . Do analizy wykorzystany będzie twój własny IP, ale jest to szkodliwy sposób, gdyż przestaje działac po dwóch fałszywych wejściach, a wszystkie witryny dopuszczają to i nie blokują IP.
- zaznacz "skip proxy test" jeśli przetestowałeś już swoją listę proxy i nie chcesz tego ponawiać,
- obniż limit powtórzeń przy podstawowej weryfikacji, ale trzymaj wysoki limit dla witryn z formularzami.

3) co robic a co nie

- nie wykorzystuj bezpośredniego połączenia do testowania.

4) "skip proxy anonimity test"

Twoje proxy powinny być sprawdzone pod względem anonimowosci. Jednak nie trzeba tego robic za kazdym razem gdy testujesz stronę lub listę słów, dlatego by uniknąc powtarzania testu po prostu zaznaczę tę opcję i cf ominie ten test. Nie powinieneś jednak wyłączyć tego pola na stałe, proxy należy testować przynajmniej raz dziennie.

5) Debug Mode
Jeśli przeprowadzasz tylko zwykłe testy, odznacz tryb debuggingu. Inaczej na twoim twardym dysku zaczną gromadzić się wielkie ilości danych.
Opcję tę dodałem oczywiście po to, by debugging był możliwy.

Wgląd w testera proxy CF

1) CF łączy się bezpośrednio z pierwszą aplikacją sprawdzającą proxy (judge) z listy i sprawdza wszystkie adresy IP z uzyskanej listy i traktuje je jako twoje IP. (Jeśli witryna nic nie zwraca przechodzi do drugiej aplikacji na liście itd. aż wszystkie IP są sprawdzone)
==> w rezultacie jedno lub więcej IP, gdzie jedno z IP jest z pewnością twoje. Inne numery mogą być IP od twojego ISP np.

2) Bierze pierwsze proxy z listy, łączy się z tą samą aplikacją co w kroku 1, sprawdza wszystkie IP z otrezymanej odpowiedzi i jeśli jedno z tych IP pasuje do IP z kroku 1 proxy nie jest anonimowe.
Jeśli w odpowiedzi nie ma żadnych IP, proxy uważane jest za niedziałające.

3) Krok 2 wykonywany jest dla każdego proxy na liście.
Rezultat: lista proxy które nie pokazują twojego IP – według użytej aplikacji.
Ponadto po teście C-Force usunie tak zwane „gateway proxies” Moim zdaniem jest to najbardziej odpowiednia metoda testowania proxy.
Ludzie porównywali Charon z C-Force i stwierdzili, że oba te programy dają w przybliżeniu ten sam rezultat gdy wykorzystywana jest ta sama aplikacja (judge).
W Charonie możesz przeprowadzić głębszy test proxy dlatego dodałem opcję uruchamiania Charona z wewnątrz C-Force.

„Skip anonimity in deep”

Silnik C-force jest zbudowany w ten sposób, że automatycznie przeprowadza test względem strony podczas testowania listy słów, natomiast opcja "skip anon" ma jedynie na celu zapobiegnięcie testowaniu anonimowości przed każdym testem. Zgadzam się, że terminologia może wprowadzać trochę zamieszania, możliwe, że powinienem tę opcję nazwać "check for anonimity before bruteforce".... skoro jednak miałem na myśli przede wszystkim początkujących, ustawiłem domyślnie test anonimowości, aby ich IP nie był zbanowany w przypadku, gdy nie mają pojęcia czym jest testowanie anonimowości proxy.

Opcja "skip anon test" nie ma nic wspólnego ze sprawdzaniem proxy względem strony.

możesz zrobić 2 rzeczy:

1) Odznaczyć opcję (skip anon test)

C-Force będzie testował anonimowość przed każdym atakiem

2) Wybrac ja

C-Force NIE będzie testował anonimowość przed każdym atakiem

Sprawdzenie względem strony jest wykonywane podczas właściwych testów i niej est widoczne dla użytkownika, jest to tylko część modułu wykrywania fałszywych proxy.


Jak C-Force radzi sobie z fałszywymi odpowiedziami?

Przede wszystkim są 2 mechanizmy wykrywania fałszywych odpowiedzi w C-Force
1) w trakcie testów, za pomocą słów kluczowych i poprzez sprawdzanie proxy. Odpowiedź 401 jest nieistotna, ponieważ kompletny silnik C-Force jest oparty na odpowiedziach 200ok i słowach kluczowych.
2) po teście program porównuje rezultaty pod względem długości i względem słów kluczowych jak ‘member’ ‘denied’ itp.

Krok 2 jest decydujący odnośnie tego co widzimy jako fałszywą odpowiedź, ale niemożliwe jest zastąpienie człowieka we wszystkich przypadkach, dlatego często C-force zamieni trafienia i fałszywe odpowiedzi miejscami. ALE...
Podczas testów możesz dostosować dokładność C-Force otwierając prawym przyciskiem myszy menu na haśle w liście trafień. Jeśli jest to fałszywa odpowiedź, wybierz po prostu "mark as failure" a C-Force sam się dostosuje.

Obsługa list słów i proxy po rozpoczęciu pracy lub po zakończonym teście.

W większości przypadków można te kroki skrócić do następujących:

Uruchamiamy C-Force
1. Idź do AUTO , załaduj listę proxy, listę haseł, wstaw member URL
2 .Naciśnij START, i czekaj na wyniki

Nowa lista słów – ta sama strona co w poprzedniej sesji
1. Załaduj nową listę
2. Naciśnij start

Nowa strona – ta sama lista słów
1. Wprowadź member-url w auto-tab
2. Ponownie załaduj listę słów
3. Naciśnij start

Ta sama strona ta sama lista słów po przerwaniu
1. Naciśnij Resume

Podstawowe kody

WSZYSTKIE strony członków mają kod 200 ok i to jest jedyna rzecz, której szukamy.
dla logowania przez wyskakujące okienko (pop-up):
w zasadzie można powiedziec, że błąd 401 oznacza błędne hasło, a c-force zajmuje się tym błędem tak, jak powinien, a 200 oznacza działające hasło.

dla loginu przez formularz:
tylko 200 ok jest poprawne.

przy okazji – wszystkie fałszywe odpowiedzi także mają kod 200 ok

Niektóre 200 ok są powodowane przez złe proxy, ale te są wykrywane przez c-force w większości przypadków.
Niektóre odpowiedzi 200 ok są złe, ponieważ serwer wysyła inną stronę jako błąd w logowaniu... C-Force nie zawsze potrafi to wykryć sam, ale możesz dostosować jego precyzję w trakcie procesu testowania.
Wszystkie pozostałe odpowiedzi wynikają z problemów z proxy, łączem lub serwerem. Im lepsze twoje proxy, tym więcej przyzwoitych odpowiedzi uzyskasz.


Gdy dostajemy w c-force mnóstwo wiadomości o treści "bad server reply"

"Bad server reply" to komunikat wysyłany wtedy, gdy serwer nie przekazał nam nagłówka. W większości przypadków powodem tego są złe proxy lub przeciążenie serwera albo nawet twojego własnego systemu (zbyt wielka ilość ruchu na łączu)
Ale zawsze można uruchomić ‘debugmode’... C-Force zachowuje wówczas pełną informację o ruchu (wysłane nagłówki oraz uzyskane nagłówki + zawartość w plikach na każdy bot

Komunikat "No protection found"

Możliwe, że wynika to z istnienia referrera...
Przykład Krok po kroku jak użyć C-Force do testowania "glamour.cz/":
1) idź do panelu PRO
2) główny url : members.glamour.cz
3) główny referer : GLAMOUR.cz ::: sexy teens in glamour photography
4) naciśnij: Analyse
5) action referer : GLAMOUR.cz ::: sexy teens in glamour photography
6) naciśnij bruteforce
7) załaduj listę haseł do panelu auto
naciśnij start

Co robić, gdy nie chcesz sprawdzać ręcznie swoich wejść na strony...

Wykorzystaj potężne narzędzie, jakim jest funkcja historii. Załaduj swój plik Hitlog, przetestowane anonimowe proxy i naciśnij Start

Czy można w C-Force testować strony zabezpieczone Https?

Nie. Nie mogłem dodać tej opcji ze względu na ograniczenia czasowe.


Więcej pytań i odpowiedzi
P: Program nie daje się odpalić.
O: Zainstaluj biblioteki runtime Visual Basic SP6, a jeśli nadal nie powodzi if it still ci się, wykorzystaj unstaller ze strony "http://www.wizzard100.de/C-Force/"

P: C-Force zwraca komunikat : brak zabezpieczeń, ale i tak w przeglądarce trzeba się logować w okienku.
O: Sprawdź proxy, które jest wykorzystywane w analizie, lub nie wykorzystuj w testowaniu żadnego proxy.

P: C-Force zwraca komunikat : brak zabezpieczeń, ale i tak w przeglądarce trzeba się logować w formularzu.
O: Zapewne na stronie dodano zabezpieczenie weryfikację przez obrazek. C-Force nie umożliwia łamania zabezpieczenia OCR. Jeśli nie ma takiego zabezpieczenia, sprawdź swoje proxy.

P: C-Force zwraca komunikat : brak zabezpieczeń i brak jest weryfikacji w formularzu.
O: Sprawdź url wykonywany przy wysyłaniu formularza, może on być w https.

P: C-Force prowadzi analizę, ale nie rozpoczyna testowania.
O: Załaduj ponownie listę haseł.

P: C-Force ładuje moją listę haseł, ale pokazuje tylko jedno hasło.
O: Hasła w pliku są rozdzielone znacznikiem linefeed (LF), jednak obecnie C-Force odczytuje tylko pliki z wpisami oddzielonymi przez CRLF (hard return or enter)

P: Bardzo często uzyskuję komunikat "bad server reply"
O: Twoja lista proxy jest już nieaktualna.

P: Jak wiele powinienem mieć proxy?
O: Jak najwięcej.

P: Załadowałem 20000 haseł, ale nie trafiłem ani jeden raz.
O: Siła testera leży w jego liście haseł, dlatego trzeba je poprawnie budować. Najlepiej jest wykorzystywać listy właściwe dla danego tematu, gdyż wtedy osiąga się najwięcej trafień. Lista właściwa dla tematu jest dobra dlatego, że użytkownicy jednych stron często rejestrują się także na innych witrynach poświęconych temu samemu tematowi.

P: Moja analiza proxy nie pozwala się rozpocząć.
O: Zapewne wszystkie aplikacje testowe (judge) są martwe, wykorzystaj nowe aplikacje.

P: Nie można wybrać "Mark as failure" w menu podręcznym...
O: Wykorzystujesz panel PRO lub wykorzystałeś go wcześniej. To jest znany błąd w programie. Aby rozwiązać problem, trzeba zrestartować C-Force.
Uwaga: ta opcja nigdy nie będzie działać w PRO z własnymi słowami kluczowymi.

P: C-Force jest powolny, co powinienem zrobić?
O: Zmodyfikuj ustawienia. Zmień wielkość timeout i liczbę powtórzeń.

P: Mam trafienie, ale jestem pewny, że hasło nie działa.
O: Podświetl kombinację na liście i wybierz "Mark as failure".

P: C-Force jest powolny i nie odpowiada, gdy klikam myszą.
O: Najprawdopodobniej masz do czynienia z „dużą" stroną, w związku z czym moduł porównywania wzorca ma dużo pracy. Najczęściej zmniejszenie liczby botów pomaga wówczas.

P: Czy pojawi się poprawiona wersja programu?
O: Są duże szanse, że tak.

P: Czy możliwe będzie testowanie stron zabezpieczonych OCR?
O: Nie wiadomo, ale kto wie...