COMO VER ALBUMES PRIVADOS EN FACEBOOK X PABLO
He aquí una solución cuando queremos acceder a los álbumes de fotos de personas que no son nuestros amigos en facebook y que tienen sus perfiles privados!
Pese a que el álbum haga parte de un perfil privado, si al momento de subir las fotos se deja la opción de privacidad por defecto, el álbum es perfectamente visible para cualquiera con una cuenta en facebook (aún si nuestra cuenta está en una red diferente) por ejemplo:
http://www.facebook.com/album.php?aid=126362&id=792798451
Se puede ver perfectamente sin ser amigo de la persona en cuestión. Se puede notar que la URL anterior tiene la forma:
http://www.facebook.com/album.php?aid=XXXXXX&id=YYYYYYYY
El id es el número único que facebook le asigna a cada usuario y es muy fácil de obtener, por ejemplo de la barra de navegación cuando accedemos al perfil de la persona, por ejemplo:
http://www.facebook.com/profile.php?id=79279845
El aid es el id del álbum en cuestión. Es un número aparentemente aleatorio de 5, 6 o 7 dígitos. A través de la experiencia puedo afirmar que:
- Cuando el id=(9 dígitos) el aid es de 6 dígitos.
- Cuando el id= (9 dígitos, empieza por 4 o menos) entonces el aid es de 5 dígitos
- Cuando el id= (10 dígitos) entonces el aid= puede ser de 6 ó 7 dígitos
El aid se puede adivinar a través de ensayo o error, utilizando un metodo conocido como ataque por fuerza bruta. Para información general sobre este método:
es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
Basicamente lo que se hace es que a traves de un programita se prueban todas las combinaciones posibles, una por una, de manera automatizada. Las combinaciones correctas se corresponden con URLs validas, es decir con álbumes a los que se puede acceder sin ser amigo de la persona objetivo.
Para el ejemplo acá mostrado las combinaciones a probar van desde:
http://www.facebook.com/album.php?aid=000000&id=792798451 hasta http://www.facebook.com/album.php?aid=999999&id=792798451
es decir 1 millón de posibles URLs.
Uno de los programas en cuestión capaz de realizar dicho ataque se llama WebSlayer, que se puede descargar aquí!
La forma de configurar WebSlayer es la siguiente:
1) En la pestaña "Attack Setup", en la URL escribimos:
http://www.facebook.com/FUZZ
2) En la parte inferior derecha, donde dice "Resource Location Prediction", deseleccionamos "Non Standar Code Detection" que aparece por defecto seleccionado.
3) Nos vamos a la pestaña "Payload generator", a la subpestaña "Range" y configuramos el rango de 000000 to 999999. Click en "Add to generator"
4) en la parte inferior donde dice "Pattern" escribimos lo siguiente:
album.php?aid=[@PRange00@]&id=792798451
o el id que corresponda a nuestra persona objetivo (en este ejemplo es 792798451 pero puede ser cualquier otro). "PRange00" corresponde al rango que generamos en el paso 3, que aparece en la lista "Temporal Generators".
5) Dar click en "Generate Payload". Si se hace por primer vez por favor leer la "NOTA" que aparece al final de este tutorial.
6) De vuelta en la pestaña "Attack Setup", en "Payload type"seleccionamos "Payload" y damos click en "FUZZ - Import from generator"
7) Click en "Start Attack"!!!!!!
A continuación aparece una pantalla como la siguiente:
Las URLs en verde son URLs no validas (la mayoría) sin embargo las grises son URLs válidas que se corresponden con álbumes de fotos que podemos ver!
|