lunes, agosto 31, 2009

COMO VER ALBUMES PRIVADOS EN FACEBOOK

He aquí una solución cuando queremos acceder a los álbumes de fotos de personas que no son nuestros amigos en facebook y que tienen sus perfiles privados!

Pese a que el álbum haga parte de un perfil privado, si al momento de subir las fotos se deja la opción de privacidad por defecto, el álbum es perfectamente visible para cualquiera con una cuenta en facebook (aún si nuestra cuenta está en una red diferente) por ejemplo:

http://www.facebook.com/album.php?aid=126362&id=792798451


Se puede ver perfectamente sin ser amigo de la persona en cuestión.

Se puede notar que la URL anterior tiene la forma:
http://www.facebook.com/album.php?aid=XXXXXX&id=YYYYYYYY
El id es el número único que facebook le asigna a cada usuario y es muy fácil de obtener, por ejemplo de la barra de navegación cuando accedemos al perfil de la persona, por ejemplo:
http://www.facebook.com/profile.php?id=79279845
El aid es el id del álbum en cuestión. Es un número aparentemente aleatorio de 5, 6 o 7 dígitos. A través de la experiencia puedo afirmar que:

- Cuando el id=(9 dígitos) el aid es de 6 dígitos.
- Cuando el id= (9 dígitos, empieza por 4 o menos) entonces el aid es de 5 dígitos
- Cuando el id= (10 dígitos) entonces el aid= puede ser de 6 ó 7 dígitos

El aid se puede adivinar a través de ensayo o error, utilizando un metodo conocido como ataque por fuerza bruta. Para información general sobre este método:
es.wikipedia.org/wiki/Ataque_de_fuerza_bruta


Basicamente lo que se hace es que a traves de un programita se prueban todas las combinaciones posibles, una por una, de manera automatizada. Las combinaciones correctas se corresponden con URLs validas, es decir con álbumes a los que se puede acceder sin ser amigo de la persona objetivo.

Para el ejemplo acá mostrado las combinaciones a probar van desde:

http://www.facebook.com/album.php?aid=000000&id=792798451 hasta http://www.facebook.com/album.php?aid=999999&id=792798451

es decir 1 millón de posibles URLs.

Uno de los programas en cuestión capaz de realizar dicho ataque se llama WebSlayer, que se puede descargar aquí!

La forma de configurar WebSlayer es la siguiente:

1) En la pestaña "Attack Setup", en la URL escribimos:

http://www.facebook.com/FUZZ
2) En la parte inferior derecha, donde dice "Resource Location Prediction", deseleccionamos "Non Standar Code Detection" que aparece por defecto seleccionado.
3) Nos vamos a la pestaña "Payload generator", a la subpestaña "Range" y configuramos el rango de 000000 to 999999. Click en "Add to generator"

4) en la parte inferior donde dice "Pattern" escribimos lo siguiente:

album.php?aid=[@PRange00@]&id=792798451

o el id que corresponda a nuestra persona objetivo (en este ejemplo es 792798451 pero puede ser cualquier otro). "PRange00" corresponde al rango que generamos en el paso 3, que aparece en la lista "Temporal Generators".

5) Dar click en "Generate Payload". Si se hace por primer vez por favor leer la "NOTA" que aparece al final de este tutorial.

6) De vuelta en la pestaña "Attack Setup", en "Payload type"seleccionamos "Payload" y damos click en "FUZZ - Import from generator"

7) Click en "Start Attack"!!!!!!

A continuación aparece una pantalla como la siguiente:
The Attack Started!
Las URLs en verde son URLs no validas (la mayoría) sin embargo las grises son URLs válidas que se corresponden con álbumes de fotos que podemos ver!
Como es muy incomodo buscar línea por línea las direcciones grises entre miles de direcciones verdes hacemos lo siguiente:
8) Click en el menu "File", "Export results". Bautizamos nuestro archivo y le agregamos la extensión .txt
9) Abrimos dicho archivo en el block de notas, y buscamos (edición, buscar ó Ctrl+B) lo siguiente a lo largo del archivo:




donde aparezca esto, justo en esa línea la URL corresponderá a un álbum al que podemos acceder
NOTA!
Un ataque de 1 millón de combinaciones como el acá mostrado toma mucho tiempo! Haciendo pruebas en un portatil HP Pavilion dv1000 de 512 MB de ram, procesador celeron M y Windows XP, toma 24 minutos probar alrededor de 10mil combinaciones solamente!
Para acelerar el proceso he aqui algunas recomendaciones:
1) No buscar desde 0000000.
Si sabemos que la aid es de 6 dígitos lo lógico es empezar desde 100000, verdad? de lo contrario serían 5 dígitos.
2) Si conocemos la aid de al menos 1 álbum de la victima podemos obtener los demás aid de los otros álbumes muy fácilmente!!! Por qué? porque facebook no asigna aleatoriamente los aid como todos podríamos pensar. Los asigna de acuerdo a la fecha en la que fueron subidos los álbumes a la web.
Por ejemplo en nuestro caso, suponiendo que de antemano conozcamos que una aid valida es aid=126362 entonces sabremos que las demás aid estarán cerca de este número.
Si buscamos por debajo de 126362, estaremos buscando álbumes subidos antes que el álbum "referencia" y si buscamos por encima de 126362 estaremos buscando álbumes subidos más recientemente.
Por ejemplo si configuramos nuestro rango desde 127000 hasta 137000 (10 mil combinaciones, media hora de trabajo) aparecerán las siguientes URLs válidas:
http://www.facebook.com/album.php?aid=127504&id=792798451
http://www.facebook.com/album.php?aid=128977&id=792798451
http://www.facebook.com/album.php?aid=136813&id=792798451
La pregunta es ¿Como conocer de antemano una aid valida?
Una forma que me ha funcionado varias veces es la siguiente: Normalmente los amigos de "La victima" en facebook comentan las fotos de los álbumes conforme se van subiendo. Si al menos uno de ellos tiene el perfil publico -totalmente abierto- y podemos acceder a su muro porque hacemos parte de la misma red, entonces podemos acceder al álbum que ha comentado. Veamos el ejemplo:
La persona con el siguiente perfil es amigo de la victima con aid=792798451:
http://www.facebook.com/profile.php?id=719267296
Y su perfil esta abierto al publico (al momento de escribir esto, puede que en el futuro lo vuelva privado) y además ha comentado una de las fotos del álbum de la víctima llamado "el trio dinamico..."
Buscando en el muro tenemos acceso a la siguiente foto de dicho álbum:
http://www.facebook.com/photo.php?pid=3444990&id=792798451&ref=mf
Si damos click en "Volver al álbum" tenemos finalmente la URL con la aid "referencia"
http://www.facebook.com/album.php?aid=144277&id=792798451
------------------------------------------------------------------------------
Gracias a "ui=7927984xx" por darme la inspiración para buscar este contenido en internet.
Espero que este tutorial les haya gustado. Ha sido tomado casi en su totalidad de la siguiente dirección (en ingles)
http://th0r.info/?p=341
Alguna pregunta o comentario es bienvenido!
------------------------------------------------------------------------------

117 comments:

Valeria dijo...

hola me kede en el paso 6
no se porque no me aparecen las direcciones verdes y grises que comentas
muchas gracias por el tutorial
:D

giraa2 dijo...

A Valeria:

En la pestaña "Attack Setup", en la parte central izquierda aparece una lista seleccionable llamada "Payload type", que aparece con la opción "Dictionary" seleccionada por defecto. Dandole click nos aparecen otras 2 opciones mas: "Range" y "Payload". Seleccionamos ésta última. Justo debajo aparecen 2 botones, uno que se llama "FUZZ - Import from generator" y el otro que se llama "FUZ2Z - Import from generator" DAMOS CLICK EN EL PRIMER BOTON! (el que dice "FUZZ-Import from generator")
Avanzamos al paso 7), es decir damos click en "Start Attack". La pantalla con los enlaces grises y verdes debería aparecer!!

Second dijo...

Muy buen post mi pana lo voy a probar a ver si sirve ojala y sigas publicando trucos y si quieres promocion para tu blog yo tambien tengo uno tengo mil visitas a diario si quieres enviame un correo a secondwear@gmail.com soy de Venezuela saludos

jackie dijo...

Funciona em Myspace?

bakleeta dijo...

Hello. Im not sure if you understand English. But when I click on FUZZ - IMPORT GENERATOR, an error message appears like this:

ERROR IMPORTING PAYLOAD 1, CHECK THAT A PAYLOAD EXISTS

PLEASE HELP! Por favor ayuda!

fo_shizzle34@yahoo.com

giraa2 dijo...

@jackie:
Todavia no he probado este truco en myspace pero probablemente funcione con algunas modificaciones...

@backleeta:
That error message appears in step 6 because you didn't create a payload (the long list with links). You probably miss-configured the payload in "Payload Generator" tab, steps 3 to 5.

Those steps state:

3) In "Payload generator" tab, in "Range" subtab we configure range from 0000 to 9999, for example. Click in "Add to generator"button.

4) in the lower part of "Payload generator" tab, where it says "Pattern" we must write:

album.php?aid=[@PRange00@]&id=792798451

using our victim's id (in this example it is 792798451). "PRange00" corresponds to the range we generated in step 3, wich appears in "Temporal Generators" list.

5) Click in "Generate Payload". Before doing it for the very first time, please read note below tutorial("NOTA"), because if you dont your PC may hang up with a very long list.

It is quite straight forward.

dan dijo...

hey do you have these instructions in english?

Kamal dijo...

Hi,
I followed your tutorial but after I click on start attack nothing happens. I have left the application run for 2 hours and still not results.

Orlando dijo...

que puedo poner en la casilla Headers , no utilzo mozilla , creo que eso es lo que me falta para poder tener exito , como puedo obtener el user-agent para explorer he buscado y no he contado con suete gracias por el aporte .

Carolina dijo...

HOLA, QUEDE EN EL PASO 7, PERO AL DARLE STAR ATTACK, ME SALE UNA PANTALLITA CON LA SIGUIENTE FRASE "ERROR IN HTTP CPNECTION, IS THE PORT OPEN?" QUE TENGO QUE HACER, CERRAR EL PUERTO O ABRIRLO Y CUAL DE TODOS, TE LO AGRADEZCO, Y MUY BACANO TU TUTORIAL

giraa2 dijo...

"ERROR IN HTTP CONECTION, IS THE PORT OPEN" sale porque la direccion escrita en el paso 1 del tutorial tiene un espacio al principio, es decir, en vez de haber escrito: "http://facebook.com/FUZZ"

se escribió
" http://facebook.com/FUZZ"

giraa2 dijo...

El error anterior sale frecuentemente cuando se copia y pega la dirección, en vez de digitarla manualmente!

fernando dijo...

he probado varias veces,pero siempre me sale una
linea verde y es de la foto donde saque la aid, nada mas.
Estare haciendo algo mal??

Omar dijo...

Hola yo tengo una pregunta que pasa si la persona no tiene un id si no tiene su nombre ejemplo:

http://www.facebook.com/home.php#/omar.lopez

en este caso se pondria el hombre de la persona donde va el id ?

grancias por la ayuda, por cierto muy bueno el tutorial no lo e probado pero lo hare luego!

Rolando dijo...

Hola! Mi ID en FB es de 10 dígitos, y tengo álbumes con los siguientes nº aid: 795, 7565... (los más antiguos) hasta el 37419 (el más nuevo. Como verás, pueden existir aid más bajos que los que propones.
Saludos, y muy buen post!

Zap dijo...
Este comentario ha sido eliminado por el autor.
Omar dijo...

ya lo hize pero no me aparece ninguna linea gris todas son verdes que se supone que hize mal ?? y otra cosa en el codigo que tenemos ke buscar es 0Wtd td o 0W td td es una O o es un zero ??

gracias,

David dijo...

Realice todos los pasos tal como se indica hasta encontrar una dirección valida pero al escribirla en el buscador no me da al álbum sino que me solicita primero entrar a facebook y luego me dice que no se puede entrar al álbum porque no se tiene permiso.

espero comentarios...

DAvid

ђ Nagashadow dijo...

Hola.
Muy buen tutorial, pero...
Quisiera saber si es posible, con tecnologías similares acceder a un álbum bloqueado (privado) de un usuario que es contacto mío.

Agradecería una respuesta o alguna próxima entrada.
Saludos.

Nagashadow

ramita dijo...

esta en vigencia el truco?
de ser asi seria bkn, wen blog!
saluydos

Lorena dijo...

No encuentro " FILE " cuando me salen las cosas verdes.

Júlia Baracho dijo...

hola holaa! muchos saludos por su post, voy a tentar. pero, puedes ayudarme? gostaria de que me agregasse in mi msn: juliabaracho96@hotmail.com es que voy hacer por la premera vez y preciso saber lo que hacer se no tenir alguna información. gracias

Solsi dijo...

Holaaaa la verdad es que no entiendo mucho como se hace eso de
"3) Nos vamos a la pestaña "Payload generator", a la subpestaña "Range" y configuramos el rango de 000000 to 999999. Click en "Add to generator".
Eso de configurar el rango no lo entiendo =( ojala me puedas ayudar gracias

agregame al msn porfavor si no es mucha molestia, necesito tu ayuda.
solsito24@live.com
GRACIAS!!!

giraa2 dijo...

@David: En tu caso has encontrado la dirección válida de un album cuyas opciones de privacidad no permiten ver a cualquiera su contenido (tienes que ser amigo de la persona)

@ђ Nagashadow: Los albumes bloqueados (privados) tienen la siguiente estructura de dirección:

http://www.facebook.com/album.php?aid=XXXXXXX&id=YYYYYYYYYY&l=ZZZZZZZZZZZZ

donde "l" es una cadena de 12 caracteres en el rango 0123456789abcdef. Teóricamente se podría hallar el parámetro "l" aplicando el mismo método explicado en este tutorial, pero al ritmo actual al que realizo los ataques me tomaría unos 675 años aproximadamente en dar con la combinación correcta. El problema también es que al parecer facebook cambia dicho parámetro cada mes, así que acceder por fuerza bruta a dichos álbumes aunque posible es muy difícil.

No obstante existen maneras mas sencillas de acceder a fotos que son realmente privadas: he probado con éxito los métodos de ingeniería social y pishing por lanzadores. Admito sin embargo que ambos métodos son poco éticos e inclusive el último es un delito. La estrategia utilizada en este tutorial es absolutamente legal y está inclusive avalada por los propios desarrolladores de facebook:

"If you query the albums table specifying the specific aid and the album is public, then you will be able to see the metadata for the album, consistent with the behavior of the site." 2009-07-17 16:03:16
http://bugs.developers.facebook.com/show_bug.cgi?id=5994

edward133 dijo...

que onda compa, yo hice totalmente lo que decias en tu tutorial y si me resulto con ese ejemplo que pones, pero al momento de hacerlo con uno propio no resulta, llego hasta la parte de donde le das START ATTACK y despues supuestamente me dice que esta procesando el ataque pero no avanza la rayita ni nada, espero me puedas ayudar. saludos

^Chosp0 dijo...

Hola, he escrito a mano la direccion, y no obstante me sigue dando el ERROR IN HTTP CONNECTION, IS THE PORT OPEN? ese.

He cerrado el firewall, y he abierto el puerto 80 en el router pero nada de nada. Que puede ser??

Jimena dijo...

@edward133, a mi me pasó lo mismo, la primera vez me funcionó pero la segunda no.
Lo he solucionado haciendo esto en la pestaña Payload generator - Range
En la columna "Temporal generators" te aparecen listas con el nombre PRange00, 01 etc...
bórralas todas, cierra y vuelve a abrir el programa y repite el proceso desde el principio.

suerte!

Claudia dijo...

He intentado, pero una vez que instalo el programa en mi pc, este no funciona y el computador se pega, al final termino desinstalándolo. No sé porque ocurre, lo probé en dos pc's... No existe uno alternativo???

Claudia dijo...

Estimado... Ya lo he solucionado... Es mi conexion y los pc's que son demasiado lentos...

Gracias por el programa, veremos como resulta

Sean dijo...

How do I set the range to 00000? Every time I try to do it, it just goes back down to 0

And what do I need to do with ID's with 8 digits?


¿Cómo puedo definir el rango de 00000? Cada vez que intento hacerlo, simplemente vuelve a bajar a 0

¿Y qué tengo que hacer con la identificación con 8 dígitos?

2medioakros dijo...

hice todos los pasos pero no me salen las lineas grises.Que estoy haciendo mal?

Juan E. dijo...

Se pueden buscar mas de una id simultaneamente?
Muy bueno el post! Saludos!

RRNCrew dijo...
Este comentario ha sido eliminado por el autor.
Valentin dijo...

Hice una prueba con un aid e id conocidos y los puse en un rango para que me arrojara mas de un dato solamente para probar que funciones y cuando hice atack y vi los resultados justo la pagina del album que deberia salir en gris no aparece dentro de los resultados ¿como puede hacer para que aparescan los resultados grises?

RRNCrew dijo...

Yo lo deje como 546 horas porque puse desde 000000 hasta 999999 y cuando al fin termino, se clavo el programa -.-

giraa2 dijo...

@Valentin:
No te sale porque no desactivaste la casilla "Non Standard Code Detection" en la pestaña attack setup! eso es lo primero que hago en el video que subi a youtube.

@RRNCrew
Lo que yo hago para evitar eso es trabajar por rangos, cada que corro el programa avanzo 10mil o 20mil combinaciones solamente. Por eso es importante tener una aid conocida para saber por donde empezar y no atacar desde 0 como tu lo haces.

RRNCrew dijo...

Gracias Giraa2
Yo..de nuevo. Me aparecio uno rojo entre los verdes, y lo guarde en block de notas y me aparece el HTML ese pero cada vez que intengo abrir, pego la direccion en la barra de direcciones, Enter y me vuelve a revotar en Inicio de mi perfil. Por que me pasa eso?. Hay alguna manera de comunicarme con vos, tenes Gmail? para mostrarte alguna captura.

- Otra pregunta: Si esta persona tiene las imagenes para solo amigos, puedo verlas igual?

giraa2 dijo...

@RRNCrew
La linea roja que comentas nunca me ha salido antes... mi correo es privacystalker@gmail.com
Por otra parte, uno con este metodo NO puede ver imagenes que esten configuradas especificamente para ser vistas por amigos. Para eso necesitas ser amigo de la persona! Por que no intentas algun metodo de ingenieria social?

RRNCrew dijo...

Hice una prueba con mi misma cuenta (confirgure los albumes para "solo amigos") y si pude!

Lucie dijo...

Hello
Ese normal que busco un linko con Ow y que no puede abrir el linko ?

giraa2 dijo...

@Lucie:
Cuando se encuentra un link con 0w que no se puede abrir -te dice que el contenido no esta disponible o que no tienes permisos- es porque se trata de album de fotos que "la victima" ha configurado para que solo sus amigos lo puedan ver.

@RRNCrew:
Yo he hecho pruebas y me parece muy extraño lo que dices respecto a los albumes configurados para solo amigos. Facebook asigna una variable extra al link de acceso al album que hace casi imposible acceder a él con el metodo aca descrito...

RRNCrew dijo...

Creeme! yo pude!
Es como si fueras amigo de algun amigo de esta persona, entonces ese amigo es etiquetado en alguna foto, entras al album (ver album).
Entras al link igual, por mas que hayan configurado "Solo amigos"
Con solo poner el link correcto, estas dentro!.

Lucie dijo...

Como poner el link correcto ?

Kanishka dijo...

Voy a probar, ché. Pregunta, se puede cancelar el proceso de ataque en algún momento y ver, por ejemplo, si despues de 1 horita hay algúna url que me sirva. Por lo menos para ver aunque sea un album y si mi novia me mete los cuernos Xp
Graciuas por la data, vuaprobá

pancho dijo...

hola me funciona todo bien y rapido hasta que hago clic en "Star attack". Me sale un error : FUZZ tipe requires a keyword in the url (FUZZ)

por que aparece eso, intente con cuentas distintas una con id en la direccion y otra con el nombre (como en el tutorial). Me puedes ayudar

AguSv8 dijo...

Hola me quedo en el paso 5.

Mira el ID es de 10 digitos.
y como vos decis el aid tiene q ser de 6 o 7 digitos entonces le pongo 100000 to 9999999
esta bien asi?
porque intente muchas veces y me quedo en ese paso y se cuelga el programa y tira "Runtime Error" y no se que mas todo en ingles...

Saludos

AguSv8 dijo...

tambien probe con 100000 to 999999 y se cuelga el programa.
o 1 to 999999 o 1 to 9999999 o 0 ... y asi pero siempre se cuelga ...
AYUDAA !!!

AguSv8 dijo...

ahy esta...

Solo me funciono de 1 to 999999

los demas no

giraa2 dijo...

@pancho:
El error que describes no lo he experimentado antes... supongo que has escrito algo mal en las URLs (en alguna de las 2 pestañas donde hay que hacerlo) Intenta reproducir fielmente el ejemplo del video-tutorial y luego cuando te funcione cambia la ID por la de tu "victima". Que yo sepa no importa que ID ponga uno, el programa no tiene por que sacar ese error.

@AguSv8:
A menos que tengas un computador con mucha ram, muy buen procesador y una conexion a internet muy rapida lo mejor es probar rangos mas estrechos, yo pruebo con 10mil combinaciones cada vez

poker face dijo...

I'm trying from 100000 to 999999... i hope this works, i've tried all other hacks and all have been solved.. 6800 passed but all still green

p.s. When you copy the
album.php?aid=[@PRange00@]&id=792798451

MAKE SURE THERE ARE NO SPACES.
If not the colours will be yellow.

Soledad dijo...

Hi! Thank you so much for this. But does it still work? I'm not sure.. Because every results appear in greys.
Ayuda me!

giraa2 dijo...

@Soledad:

It still works! New privacy updates of facebook didn't affect this trick at all. In fact many profiles are now open because default privacy option is weaker than before.
You have to be patient with this method. Once you get 1 valid aid it will take you few minutes to get others valid URLs. Trust me.

Este truco todavía funciona, pese a la reciente actualización de las políticas de privacidad de facebook. De hecho muchos perfiles son ahora visibles porque la opción de privacidad por defecto es la mas débil. Tienes que ser paciente con éste método. Una vez tengas una aid valida es cuestión de minutos acceder a las demás. Creeme.

Soledad dijo...

Thanks for your fast answer! The fact is every results apperas in grey, Aren't greys supposed to be the right one? And then, when I search for the HTML, I got a result at each sentence.. =/

Dany dijo...

Muy buena explicacion. Muchas gracias. Lastima que sea tan lento, pero es lo que hay XD.
Aun no me ha salido ninguno en gris (todos verdes). Lo dejare puesto toda la noche a ver si pilla alguno.

Cris dijo...

Pues a mi me slaen lineas amarillas, entre las verdes claro, es por que estan protegidos esos albunes???
Gracias

Anónimo dijo...

en el paso 4 donde dice prange00 hay k poner el valor del rango o este se deja como esta, eso saludos y ojala funcione...

Anónimo dijo...

se keda en el 6% y no sale de ahi se necesita estar conectado para k funcione, esa es mi consulta agradeciendo la respuesta me despido

Anónimo dijo...

ya lo hice y al kerer entrar a la pagina sale un anuncio ke dice ke la pagina a kadukado o ke no te permisa para entrar

Edgar dijo...

El truco ya no funciona tan facil, por que ya no aparece 0W en el link que funciona, lo unico que lo identifica es que no sale en el listado, pero es muy complicado buscarlo manualmente, entoces se debe utilizar excel o algo si.

Anónimo dijo...

Edgar yo empezaba a pensar lo mismo porque no consigo ninguna aid pero tenía ya la de 1 álbum,lo pongo en "range" hasta 2 números más y efectivamente aparece en otro color (el que ya sé que funciona). O tienen pocas cosas colgadas o es un número muy alejado de la aid que tengo.

FUNCIONA, pero como dice el autor paciencia

Anónimo dijo...

no me avanza al ataque .el progreso queda en 0

Anónimo dijo...

Saben qué pasa?, para entrar a ver fotos privadas, hay que ser un hacker con 5 años de experiencia y no unos simples navegantes como todos nosotros...

Joselito dijo...

Este anonimo no save ni q significa la palabra hacker y experiencia? hay parece q necesites hasta un curriculum...
Que hay curso de primaria en hacker entonces...

Para q lo entendamos todos la palabra HACKER es un programador informatico con malas intenciones, ahora si te especializas en eso seguro q tienes mas futuro q como programador normal... Pero este no es el tema del post anonimo.

Anónimo dijo...

Una vez k ya tenga un aid valido k tengo k hacer, donde puedo checar el album?

Anónimo dijo...

Hola:

Muy bueno el tutorial, pero cuando probe con mis datos me resulto pero cuando lo hice con los de otra persona no me salio ningun listado y probe con rango no tan amplios. Que pudo haber sucedido si segui todos los pasos correctamente?

Agradeceria su valiosa ayuda

kaiserferreo dijo...

bueno amigo yo tengo si ya tengo una foto guardada de un albun con el nombre de la foto se podrian identificar esos parametro? por ejemplo 20170_103406079685893_100000495034039_92253_1343428_n

Anónimo dijo...

HOla es genial todo lo que vi en la pagina, algunas cosas no me resultaron, pero supongo que tiene que ver con las constantes actualizaciones del face, para tapa "baches".
Una pregunta...se puede ver el muro a muro de un usuario que es amigo y de otro que no lo es? yo probe y solo aparece lo que escribe el que no es mi amigo, pero yo no veo lo que el escribe. es raro no? bueno,ojala puedas darme una idea.
Gracias!!!!

Anónimo dijo...

hola... he estado dias sin dormir, tratando de entrar al facebook de esta persona, aunque hoy no lo logre... estoy contenta esta rodADNDO ESTA COSA QUE NI SE COMO SE LLAMA todos me han salido verdes pero me falta muchisimo todavia espero encontrar uno gris y poder ver todo lo que tiene alli y asi podre liberarme de las cadenas que me atan a esta persona, si veo su facebook podre encontrar un alivio a esta duda que me esta matando el alma, he tenido exito hasta ahora con todo esto...si algun dia entras aca que no creo por que no hablas español ni te gusta la internet, pero quiero que sepas que voy a entrar al facebook de ella y voy a ver si me mientes, no soy ninguna idiota y voy a llegar hasta la verdad... gracias de verdad a la persona dueña de esta pagina de verdad que el destino dios ala la vida superman o lo que sea te premie por que de esta manera se me va a quitar un gran peso de encima, como a muchos de los que lo estan tratando en este momento

Anónimo dijo...

bueno... algun lugar de suramerica...6:53 de la mañana mmm e el coso eso del websayer va en 3% estoy aca desde las 2:10 de la madrugada supongo que va a llevar mucho mas tiempo del que esperaba, pero pienso llebar todo esto de meterme a su facebook hasta las ultimas concecuencias...
una vez mas gracias y mil gracias a la persona que es dueña de este blog cuando salga la cosa gris les estare comentando que paso, que encontre y que clase de resultado va a tener esto en mi vida, aunque no lo crean esto es muy importante para mi...de esta informacion depende que hacepte una beca en el exterior o no, y pues esta persona ha sido muy importante para mi durante mucho tiempo, tal como parece apesar de que me pidio matrimonio sigue ahun en una relacion con su esposa y la unica forma de saber es mirar el facebook de ella, yo no queria violar la privacidad de ella asi pero es por el bien mio estoy muy triste pero esto de verdad yo se y confio mucho en que va a dar resultados

Anónimo dijo...

Muy bueno, pero creo que no funciona en todos los casos puesto que he conseguido 2 aid pero al ir al enlace me dice que no está disponible el contenido. Tengo otros albumes de otra gente guardados en favoritos, de los cuales el link es identico en su estructura a los que he obtenido de esta persona con el webslayer y en esos SI puedo entrar sin problema. Imagino que la diferencia debe ser que la persona que me interesa ver las fotos tiene la privacidad restringida al máximo y por eso no puedo entrar.
Alguna idea John Doe? O la única solución que ves es la ingeniería social?

Saludos y muy buen trabajo con el blog, enhorabuena

Anónimo dijo...

Soy el mismo del comentario anterior, no se si confirmar lo que decia antes o que, puesto que no habia mirado el color de la linea y no era gris sino amarilla. Qué significa si está en amarillo? pero aun asi sale lo de 0W-/td-td! Creo que tengo razon y esa persona al igual que yo tiene TODO restringido a SOLO AMIGOS ya que he hecho la prueba conmigo mismo guardandome un link a uno de mis albumes, entrando en otro perfil fake que tengo y al itentar acceder a ese link me dice que el contenido no esta disponible. Toca currarse un perfil creíble y dentro de unos meses cuando tenga bastantes amigos/grupos/fan de tal y cual/comentarios/etc. Agregar a la persona y mirarlo todo inmediatamente despues de que me acepte (si lo hace claro) y guardarme lo que me interese en el disco duro. Es un palo pero creo que no me queda otro remedio a menos que John aporte alguna idea.

giraa2 dijo...

@Anónimo (el de los últimos 4 comentarios)

Existen muchas maneras de acceder a fotos privadas en facebook, las hay fáciles y difíciles, legales e ilegales. Conozco muchas maneras ilegales que me han funcionado pero trato de mantener el blog con trucos que sean 100% legales y se basen en fallas de facebook o en sus aplicaciones.

Si no te interesa permanecer en la "legalidad" de los metodos aca expuestos, porque quieres a toda costa obtener acceso completo a X perfil de facebook, te sugiero -de lo menor a mayor grado de complejidad-:

- Ingeniería social, que te agregue como amigo como mencionas. Altamente recomendada. No tienes que armar un perfil supercreible, puedes armar un perfil con fotos de mujer -mas o menos de la misma edad- con 1 o 2 amigos agregados y escribirle un mensaje diciendo que fueron amigas de la escuela/colegio y que hace años que no sabia de ella.. usa tu imaginación! Hoy día la gente acepta invitaciones de amistad sin pensarlo mucho. Hasta los perfiles falsos de facebook me llegan invitaciones de gente que ni conozco y los acepto!

- Pishing: para esto necesitas conocer el email de tu víctima. Busca en google la palabra "lanzadores", hay cientos de paginas gratuitas que lanzan correos que piden al usuario loguearse, en paginas falsas, para obtener la contraseña. Se hacen pasar por emails verdaderos de facebook de cuando alguien te taguea en una foto, etc. Hay unos muy sofisticados en los que uno puede caer muy fácil, te envían la contraseña de tu víctima directamente a tu correo y lo mejor de todo: totalmente gratis.

- Que le envíes en un email un virus trojano-keylogger y que lo instale en su PC, esto es mucho mas difícil que los anteriores pero si uno lo logra tiene acceso completo no solo a sus cuentas de correo y facebook sino también a toda la información que introduzca con el teclado.

Por el momento agota todos los recursos de este blog. Ya intentaste con el truco de "photo_comments"? y el de los vídeos?

Anónimo dijo...

Si, los acabo de probar y nada. También me he suscrito a sus enlaces, aunque no aparece nada tampoco. Creo que la unica solución va a ser esa, que me agregue... bueno, paciencia tengo.
Gracias John, saludos

Anónimo dijo...

como se podrian buscar las fotos en twitter.com, he estado intentando con esta forma, pero no he logrado nada.
Ej. http://tweetphoto.com/9722570
tweetphoto.com/?=[@PRange00@]&?>1[@@]
http://www.facebook.com/FUZZ
Mi interes es solo poner a trabajar las neuronas
ya que hace muchos años trbaje como programador y como analista

Anónimo dijo...

Help! no se porque pero a mi no me aparece ninguna URL en gris, son todas verdes (no válidas), ádemas lo prove varias veces por si me habia eqiuvocado en algo pero me sigue sucediendo, ayudenmen plis!

Anónimo dijo...

che a veces no se les queda colgado ?

Anónimo dijo...

si, a mi si, y a veces tengo que reiniciarlo, pero si esperas un poco vuelve a funcionar,
Help, no me aparecen las URl en gris, son todas verdes.
Carolina.

mary dijo...

A mi tampoco me aparecen las Url en gris, siempre deselecciono en "non standar code detection", pero no pasa nada, creo que es por lo de los numeros del Rango, por favor ayudadenmen

Anónimo dijo...

He encontrado algunos links grises pero al intentar ponerlos en mi navegador, me dice que elcontenido no está disponible en estos momentos, es normal? O acaso tiene un alto nivel de seguridad? despues de buscar 50000 combinaciones de lascuales solo he encontrado como 5 links grises y me aparece lo mismo, comienzo a darme por vencido

Anónimo dijo...

me pasa lo mismo dice contenido no disponible que hago?

Anónimo dijo...

¿Cómo se ejecuta este programa en ubuntu?He buscado información pero no la he encontrado...

Anónimo dijo...

Yo me contesto, se ejecuta con Wine XD.

Anónimo dijo...

El caso es que yo tengo acceso a parte del álbum de esta persona, porque soy amiga de amiga (pero no le puedo decir que babeo por sus fotos).

Sólo puedo ver un álbum suyo, y sospecho que puede tener más solo que yo no los veo.

Así pues, puedo meterme en el único álbum que me sale (es el de la foto de perfil), y ver la dirección.

Lo que pasa, es que lo que sale asociado a la aid es un valor muy corto, pongamos, -2& (no quiero poner el número exacto), ¿esto es normal?

Anónimo dijo...

Oh, ya hice la comprobación, el valor en realidad es -3&, y sale en otra gente asociado también al álbum del perfil, en cambio, en los otros álbumes que no son el perfil sale un valor numérico como el del ejemplo de arriba, luego ese valor no sirve.

O sea, que efectivamente, sólo puede ver su álbum del perfil porque soy amigo de amigo. Bueno, ahí tengo el slayer trabjando.

Y muchísimas gracias por el estupendo aporte de esta web, parece la mejor forma.

Anónimo dijo...

Para que no se quede pillado hay que hacer la búsqueda en recorridos más pequeños, ej, 1200000 a 1400000, he visto que me funciona y el pc no se me atranca.

Respecto al tema de partid de una aid ya conocida.

Supongamos que yo soy amigo de amigo y tengo acceso sólo a un álbum, el de el perfil.

Si me meto, me sale un link con esta estructura:

http://www.facebook.com/album.php?/aid=-3&id=xxxxxxx

El valor asociado a aid no me sirve.

Pero, si en esta misma página que guarda el álbum, selecciono la foto con el puntero, o la abro en una nueva ventana, el enlace que sale tiene estar estructura:

http://www.facebook.com//album.php?pid=yyyyyyy&id=xxxxxxx

Ese valor que sale asociado a pid, es euivalente al aid?

Lo he probado metiéndolo en el WebSlayer, como valor del primer rango, y no ha salido una línea gris, me temo que no serviría, pero estaría bien tener opiniones, aver si es que falla otra cosa.

Gracias.

Anónimo dijo...

OOOOh, qué tonta, no sirve, ya lo he visto en uno de los ejemplos de arriba, argh.

Anónimo dijo...

[cita] Las URLs en verde son URLs no validas (la mayoría) sin embargo las grises son URLs válidas que se corresponden con álbumes de fotos que podemos ver!

Como es muy incomodo buscar línea por línea las direcciones grises entre miles de direcciones verdes hacemos lo siguiente:

8) Click en el menu "File", "Export results". Bautizamos nuestro archivo y le agregamos la extensión .txt

[fin de cita]

Intente hacer eso pero no pude, creo que ya no sirve. Pero descubri una manera mas facil:
Nos vamos a la pestaña "Attack results" y donde dice "codes" ponemos "302" que es el codigo correspondiente a las URLs validas, es ese mismo numero para todas las URLs validas. El 200 es para las URLs no validas.

En la version más reciente de Web Slayer, las URLs validas aparecen en color anaranjado. Las no validas siguen siendo de color verde.

Mi humilde aporte, espero que les sea util!

Anónimo dijo...

Ponte en contacto conmigo, te pagaria si pudiese ver unas fotos privadas.

Activa tu perfil para poderte dar mi email.
GRACIAS

Anónimo dijo...

No hay forma de buscar los albumes por fecha? Es que tengo día,mes y año en que mi victima subio las fotos pero no sé si hay una formula para esos casos, de hecho en el programa sale una pero no se explica bien. Podrías postearla si sabes porfa?

Anónimo dijo...

Hola!!! Usando este metodo te pueden detectar?? he leido que no es ilegal?? es decir que no te podrian denunciar por hacer esto si te detectaran??
Muchas gracias
!Saludos

giraa2 dijo...

Algunas observaciones a sus comentarios:
* El pid es el id de la foto respectiva. Si tienes acceso a una foto con pid deberias tener acceso al album completo. En eso se basa el truco en otra de las entradas del blog usando la aplicación "foto del dia"
* Lo de los "codes" para saber si la URL es valida o no en WebSlayer la verdad no lo sabia... jeje.
* No se preocupen por ser detectados por facebook (es posible pero improbable) EL metodo descrito en este blog no está en contra de las politicas de privacidad de facebook (tal como lo afirman los desarrolladores de la plataforma) No se preocupen, facebook tiene servidores gigantes para sus mas de 400 millones de usuarios en el mundo, el trafico que se genera con WebSlayer no les debe afectar en nada. El que deberia preocuparse soy yo por promover "ataques" a facebook... pero estoy tranquilo

Anónimo dijo...

y esto podria funcionar en el hi5

Anónimo dijo...

hey ... necesito ayuda para ver albums privados.. porfavor alguien q me agrege al msn diablo_loco_1999@hotmail.com

Anónimo dijo...

Todo funciona perfecto, de hecho puedo ver dos albumes, se que mi victima tiene otros 6 albumes, dos de ellos me interesan mucho, es ahi donde tendre pruebas necesarias para culpar.

El programa Webslayer me tira esos aid, pero al ponerlos en el navegador me envia "El contenido no esta disponible en estos momentos", esto sucede con seis de los 8 albunes que tiene mi victima.

Es a caso que mi victima los puso para ciertos usuarios?

O sea, se puede tomar fotos, subirlas y dedicarselas a un solo usuario y no hay forma de verlas?


De verdad necesito ayuda, de ello depende mi relacion.

otro favor, podria alguien pasarme un programa portable para ponerlo en mi usb y que envie lo que mi victima teclea?


no estan para saberlo pero de esto depende mucho, y quiza TODO.

Muchas gracias por su ayuda.

Felicitaciones por el Blog, esta explicado con manzanas.

Anónimo dijo...

hola! albums privados no se pueden ver? gracias

Anónimo dijo...

Hace ayer me iba todo perfecto,pero ahora me salen los resultados en amarillo...Por que? Y para probar si va bien he puesto un aid de un album y al darle al ataque,encontro ese album pero no estaba en gris.Estaba en amarillo como si no fuera un album valido...Donde esta el problema?

Anónimo dijo...

OLASSSS me gustaria saber si me podrian ayudar nesecito VER ESTA ID = 100000741293834

no logro saber el AID , porfavor alguien tiene algo en lo que me pueda ayudar que entienda mas , la explicacion salia con una ID mas corta esa ID es gingante por eso nesecito ayudas muchas gracias !!

Yo mismo dijo...

Hola Giraa2,

Antes de nada gracias por la información, por tus respuestas y por la paciencia que muestras resolviendo todas nuestras dudas.

Despues de leer detenidamente todos los comentarios deduzco que este metodo sólo es valido con albums no protegidos. La verdad es que estoy algo confundido porque el título habla de "perfiles privados" (y todo el mundo aquí quiere ver los albumes pribados xD). ¿Me pierdo algo? ¿Los albumes que nos permite ver no serían exactamente los mismos que podríamos ver si abrimos su perfil y vamos a fotos (a pesar de no tener esa persona agregada).

Por otro lado se me ocurre algo, he visto que las fotos de un album responden a:

"http://www.facebook.com/photo.php?pid=XXXXXXX&id=YYYYYYYYY"

Donde XXXXXXX es el codigo de la foto (he visto que de 7 digitos)

y YYYYYYYYY es el ID del usuario.

¿No se podría hacer un ataque de fuerza bruta sobre el PiD? ¿Si encontramos las fotos debería de dejarnos entrar, no? Y a partir de ahí al resto del album como esta descrito en otros metodos.

Bueno, a ver que me dices de la idea. ¿Sobre el Pid sabemos algo para acotar el rango?

Gracias por todo, un saludo

Yo mismo dijo...

Lo he probado conmigo mismo y una cuenta fantasma y si tienes el album para los amigos sólo pese a encontrar la foto con el webslayer no me dejaba verla ( me sale la pantallita de "que no esta disponible o la privacidad noseque...").

No obstante he visto que entrando a perfiles donde no podía ver nada (ni muro ni fotos ni nada) si podía acceder a una foto de esa persona etiquetada en el muro de otra que tiene el perfil público.

Yo pensaba que si al entrar en el perfil de alguien no veias la pestaña fotos significaba que tenía todos los albumes con la privacidad configurada. Sin embargo empiezo a pensar que quizá se pueda tener el perfil privado (no se ve la pestaña fotos a los no agregados) y los albumes "liberados")

Esto último lo digo pq introduciendo la dirección:

http://www.facebook.com/photo.php?pid=XXXXXXX&id=YYYYYYYYY

en el caso del perfil privado y la foto etiquetada de esa persona en otro muro si me deja acceder y sinembargo no así con una foto de mi propio FB en un album sólo para amigos desde una cuenta fantasma.

Una última propuesta: desde una foto etiquetada se puede entrar a cualquier album, privado o no, cierto?

No existe alguna ruta de enlace que especifique justamente eso, que se puede entrar porque se procede del muro de un amigo si agregado.

Si se pudiera tenemos todo lo necesario:

- Id victima.
- Id amigo de la victima agregado.
- Pid o Aid que podríamos sacar por fuerza bruta.

Puede que diga tonterías pero sólo aporto ideas a ver si sale algo bueno (o no... xd)

Luli dijo...

Hola! Necesito ayuda.. bajé el programa, hice todos los pasos sin ningún problema, pero cuando hago click en Generate Payload, se queda un tiempo como si la estuviese generando, y después me sale una ventana de error diciendo (en inglés, obvio je) que se ha producido un error y que el programa ha temido que terminar prematuramente. Ya lo intenté varias veces y me pasa lo mismo. Tenés idea de que puede ser?.. Por favor si me podés responder a la brevedad. Genial la forma q planteas. Mis saludos

Yo mismo dijo...

No hace falta que utilices este programa ya. A los albumes privados no se puede acceder con él (sólo se puede saber que existen) y a los albumes públicos de perfiles privados puedes aceder mucho más rapida y sencillamente con el "truco" que se explica en la última entrada del blog:

http://privacystalker.blogspot.com/2010/04/como-acceder-todos-los-albumes-publicos.html

Anónimo dijo...

hola ... cuando trato d ebajar el programa dice que hay un error y no se puede ejecutar ?

Anónimo dijo...

hello i have a quetion when i put start attack apear "erro connection" is the port open...i saw the firs step and i wrote very well what happened?

Anónimo dijo...

no jala con perfiles privados coño

Anónimo dijo...

jajaj el dia que descubran entrar en fotos de facebook no nos interesara mas jajaja

Anónimo dijo...

Las direcciones me envian a facebook.com a secas

¿por qué es?

Anónimo dijo...

http://laatedaa.com/forums/index.php/topic,1437.0.html

encontre un metodo sumamente enredado pero esta en ingles y me gustaria saber si puedes ayudar para poder hacerlo se agradece bye

SITH dijo...

hola al dar clic en generate payload no responde y no lo crea podrias ayudarme?

Anónimo dijo...

como k esta un poco complicado no? veo que eso de 000000 a 9999999 por ejemplo el ID k deseo ver es de 10 digitos, y el programa solo llega hasta 9, se puede o no se puede con este programa ?

Anónimo dijo...

Que Cool
Gracias.

Anónimo dijo...

oe men me fue bien en la primera busqueda. accedi a un album de 36 fotos de una chica preciosa...

Anónimo dijo...

hola quiero ver las fotos de alguien que no tengo como amigo y sus fotos son privadas, es posible?

Roman.

Anónimo dijo...

aqui lo ideal,sin tanto royos,y alborotos,es crear un facebook falso copiando varias fotos que quede creible,hagregar a varia gente siempre hay gente que te hacebta,cuando ya lo
tenemos con unos 25 0 30 amigos enviamos
a unos 10 amigos de la victima icluso a ella,si nos hacebta sus amigos siempre podremos tener exito en cuanto a fotos o albunoes publicados y comentados,si que remos mas amigos de la victima para acaparar mas,hacemos un segundo facebook invitando otros diez y a la victima claro,y ya esta en noticia sale todo,y si no es publico alguno lo hara publico sin querer puede ser,solo hay que ir viendo perfiles de amigoas agrgados de la victima,por que atraves de un amigo de la victima uno puede ver que un comentario o foto,no la tiene la propia victima como publico.pero lo vimos atrabes de la victima eso pasa mucho en el muro.

Anónimo dijo...

y bueno viendo las fotos de la amigo o amigo de la vistima podemos encontrar fotos de la victima en una fiesta etc,si hay problemas con una amiga de la victima mirar en su perfil lo poco que salga en cuanto a gusto s cine o libros etc
y entonces hacemos un facebook relacionado con ewl libro en cuestion o la pelicula que le gusta,sera mas facil que no hacebte,
ejemplo,si le gusta jonhy deep hacemos un facebook que diga fans de jonhy deep en nombre,
colocamos unos cuantos amigos y entonces le mandamos la solicitud es facil,claro que lo privado seri mas dificil a no ser que se haga viend o perfiles de los amigos y fotos y noticias y sus muros.pero se puede.ahora si adios.

Anónimo dijo...

yO LOGRE VER Y TENER LAS URL.
PERO ADIVINEN, ME APARECE ESTO:

Este contenido no está disponible actualmente

La página que solicitaste no se puede mostrar en este momento. Puede que esté temporalmente fuera de servicio, que el enlace donde hiciste clic haya expirado o que no tengas permiso para ver esta página.

[LuXuZ[*] dijo...

SITH dijo...

hola al dar clic en generate payload no responde y no lo crea podrias ayudarme?

*
Debe ser porque tu pc es una lata de atun, tienes que esperar.

Anónimo dijo...

SI FUNCA, pero con las id que tienen 15 digitos no :/.
Alguna idea?

Publicar un comentario en la entrada