Parceiro: Camisetas Hacker

Camisetas para Nerds & Hackers

Mostrando postagens com marcador Checkmscript. Mostrar todas as postagens
Mostrando postagens com marcador Checkmscript. Mostrar todas as postagens

domingo, 15 de novembro de 2015

Facebook Check - Validando usuários.

Estava ai nas madrugas sem fazer nada quando um amigo me pediu ajuda com um script PHP, que sua função seria verificar contas no Facebook.

Sei lá tal script pode ser útil para alguém ou a logica dele, não sei quem codou o "original" não tinha referencias, por isso coloquei internamente comentário sobre dia da Edição.
O script erá quase "funcional", mas a forma de request não estava correta... e também erá bloqueado facilmente pelo facebook.
Com isso adicionei functions de user-agent randômicos, proxy, proxy-list, proxy-tor, modifiquei a logica de request e uma validação meio "priv8" que fui debugando nos request do Facebook até achar uma maneira diferente de validar a login.

 O script erá quase "funcional", mas a forma de request não estava correta... e também erá bloqueado facilmente pelo facebook. Com isso adicionei functions de user-agent randômicos, proxy, proxy-list, proxy-tor, modifiquei a logica de request e uma validação meio priv8 que fui debugando nos request do Facebook até achar uma maneira diferente de validar a login.
Chega de blá blaá vamos ao script...
/*
E d i ç ã o -  2.0 / 29-09-2015
-----------------------------
AUTOR: googleINURL
EMAIL: [email protected]
Blog: http://blog.inurl.com.br
TT:   https://twitter.com/googleinurl
FB:   https://fb.com/InurlBrasil
PTB:  http://pastebin.com/u/Googleinurl
GIT:  https://github.com/googleinurl
PSS:  http://packetstormsecurity.com/user/googleinurl
YB:   http://youtube.com/c/INURLBrasil
PLUS: http://google.com/+INURLBrasil
IRC:  irc.inurl.com.br / #inurlbrasil


-----------------------------------------------------------------------------

*/


Para validação temos que seta o arquivo fonte, que pode ser emails ou numero de telefones.

DEBUG SCRIPT:
A function geral($email, $proxy = NULL) envia um Request GET Para URL https://www.facebook.com/ajax/login/help/identify.php

GETs:
ctx=recover&lsd=AVrNj_gH&email={$email}&did_submit=Procurar&__user=0&__a=1&__dyn=7xe1JAwZwRyUhxPLHwn84a2i5UdoS1Fx-ewICwPyEjwmE&__req=5&__rev=1959518

Se o return da pagina conter a seguinte string: window.location.href= significa que tal usuário existe no Facebook.

De start o script pede umas informações:

[ ! ] Informe o LISTA DE EMAILS
------------------------------------------------
[ ? ] [ SET ARQUITO ]: {SEU_ARQUIVO}

[ ! ] Informe tipo de PROXY
[ 1 ]  - TOR
[ 2 ]  - MANUAL
[ 3 ]  - SEM PROXY / DEFAULT
--------------------------------------------------
[ ? ][ SET OP ]: {OPÇÃO}

PRINT:
De inicio o script pedi umas informações:


Com todas informações setadas:
PRINT EXECUTANDO:
Com todas informações setadas: PRINT EXECUTANDO:

BAIXAR SCRIPT: 
https://gist.github.com/googleinurl/3111a343268b5bb72553

É isso, mais um script pronto. que pode ajudar alguém em uma logica futura, ou até mesmo em pentest para enumerar usuários de um bando de dados, vai da visão de cada um. Agradecer ao Sebastian Kopp que me cedeu a primeira versão do script para brincar e modificar.É isso, mais um script pronto. que pode ajudar alguém em uma logica futura, ou até mesmo em pentest para enumerar usuários de um banco de  dados, vai da visão de cada um.
Agradecer ao Sebastian Kopp que me cedeu a primeira versão do script para brincar e modificar.

vlw flw  ~
By: às 12 comentários:
Marcadores: , ,
Assinar: Postagens (Atom)