Faceboker – Brute force para facebook

29 de agosto de 2016 Ricardo Fajin

Fala galerinha, tudo certo ? tava passando por umas comunidades que participo 🙄 e me deparei com uma ferramenta bem interessante que vai dar dor de cabeça para os usuários de facebook. Confira no post.

Introdução

Criada pelo hacker que atende pela code nome Zhacker, a ferramenta faceboker (não me perguntei o porque desse nome, rs 😆 ) foi desenvolvida em Perl e tem como objetivo realizar um brute force no form de autenticação do facebook.

Prova de conceito

A utilização do script é bem simples, basta você executa-lo, precedido pelo facebook ID da vítima e uma wordlist para executar o ataque de força bruta. Como exemplificado no comando a baixo:

perl Zhacker.pl 1000102015124 ˜/Desktop/wordlist.txt

Dicas do Guia do TI

Bom galera, vamos dar algumas dicas para facilitar a vida da galera que vai executar o script e não tem muito conhecimento sobre o que se trata.

Para baixar o script, o Zhacker disponibilizou o link no mediafire para download
Para executar o script em perl recomendamos que você de preferencia a distribuição Kali Linux. Com ele você terá acesso mais facilmente a execução do script e a wordlist para ser utilizada(rockyou).
Para descobrir o Facebook ID de um alvo, utilize o site http://findmyfbid.com, mais informações no site.
Até a data deste post, ainda é possível a execução do script.
Utilize com sabedoria, 😉

Referências:

Se você quiser dar uma olhadinha no tutorial criado pelo cara, fica a vontade:

Bom galera é isso!! Espero que vocês tenham gostado dessa dica rápida e nos veremos no próximo post. Qual quer dúvida, deixa nos comentários blz? Essas e muitas outras dicas mais vocês encontram no Guia do TI. Faloooowwww 😀

Sobre
Últimos Posts

Na dúvida \/

Ricardo Fajin

Ricardo Fajin em Stone - Pagamentos

É outro louco por segurança da informação, mas não nega as suas raízes, e adora desenvolver em qualquer linguagem de programação.Atua profissionalmente há mais de 3 anos na área, onde é focado em análise de vulnerabilidades e testes de invasão. Atua como Analista de segurança da informação na Stone - Pagamentos. Foi convidado a compor o time de escritores e agregar com conteúdos voltados para segurança da informação, engenharia reversa e programação.

Na dúvida \/

Últimos posts por Ricardo Fajin (exibir todos)

Pentest.rb – O plugin externo para metasploit - 5 de agosto de 2017
Pentest Mobile Android – Introdução - 1 de maio de 2017
Faceboker – Brute force para facebook - 29 de agosto de 2016

Relacionado

8 comentários sobre “Faceboker – Brute force para facebook”

Ewerton Silva

29 de agosto de 2016 em 1:27 am
Link permanente

Cara, a ferramenta pode até funcionar, mas vai depender de uma boa wordlist. Vai ser preciso estudar a vítima, coletar o máximo de informações possíveis para depois criar a wordlist. Corrija-me se eu estiver errado.
Resposta
- Ricardo Fajin
  
  29 de agosto de 2016 em 3:35 pm
  Link permanente
  
  Obrigado pela contribuição Ewerton. Exatamente, você pode estudar o seu alvo, criar uma wordlist específica para o ataque e possivelmente, tornar seu ataque mais assertivo. Por outro lado, mesmo nos dias de hoje, ainda é possível encontrar usuários com senhas de baixa complexidade que possam ser encontradas em wordlists básicas. ^^
  Resposta
- Ricardo Fajin
  
  30 de agosto de 2016 em 8:49 am
  Link permanente
  
  Obrigado pela contribuição Ewerton. Exatamente, você pode estudar o seu alvo, criar uma wordlist específica para o ataque e possivelmente, tornar seu ataque mais assertivo. Por outro lado, mesmo nos dias de hoje, ainda é possível encontrar usuários com senhas de baixa complexidade que possam ser encontradas em wordlists básicas. ^^
  Resposta
Bruno da Silva

14 de setembro de 2016 em 6:10 am
Link permanente

Bom, MESMO que o script fosse funcional, isso levaria muitos anos, não tem o menor sentido isso. Na melhor das hipóteses você poderia pegar um usuário leigo estudar aniversário dele, dos filhos, dos familiares, gostos, jogar numa wordlist e bagunçar usando um Crunch da vida. MAS ainda tem problemas técnicos que o script não tem solução. Analisei o código fonte e ele usa só um id para os cookies, além disso, não tem nenhuma troca de ip, é um script simplesmente básico que vai falhar passando de 100 ou 200 tentativas. O Facebook bloqueia, coloca captcha, bloqueio de ip, enfim … Veja bem, para um projeto desse porte, é um script que não vai funcionar.
Resposta
Bruno da Silva

14 de setembro de 2016 em 6:13 am
Link permanente

O melhor jeito sem sombra de dúvidas é aquela bela engenharia social. Ou se não tiverem uma boa labia simplesmente vai do lado do alvo, faz um fake wireless com teu notebook, cria um dns fake que rediciona o facebook pra uma página falsa e pronto, o cara vai conectar na tua rede eventualmente e vai entrar na tua página falsa sem nem o menos saber.
Resposta
- Lucas Araújo
  
  22 de dezembro de 2016 em 5:13 pm
  Link permanente
  
  Ora ora, Brunão da Fsociety por aqui kk
  Resposta
Yuri Lima

22 de maio de 2017 em 8:24 am
Link permanente

encontrei uma falha no script ele não localiza a senha se ela for teste@14566
Resposta
Elliot Alderson

12 de agosto de 2017 em 11:44 am
Link permanente

Se não for pra deixar logs faz um arp spoofing, é a melhor forma pra monitorar e interceptar dados entre usuários de uma mesma rede, só precisa do set de engenharia social e o ettercap, tudo que já tem pronto pra uso no kali, você não pega só email e password do facebook, vai depender da pagina que você clonar, rackear facebook é mas fácil, pois ha sempre uma possibilidade de 90% de quando uma pessoa esta usando internet, ela estar usando facebook, eu não gostava de facebook ate descobrir que é o melhor exploit já criado, as pessoas estão apodrecendo nas redes sociais, cada coisa que acontece, sente postam lá, lá temos fotos, emails, fakes, Um surto viral no facebook demoraria segundos pra atingir uma quantidade boa de boots, se for pra rede local, bota um keylogger no pc da vitima, e se ela estiver do outro lado do mundo, você vai ter que fazer backdoor
Resposta