駭客破解facebook密碼,facebook密碼破解 如何破解Facebook賬戶,如何破解FB密碼,書臉密碼破解,破解臉書密碼,fb密碼破解,破解facebook密碼,如何破解Facebook賬戶,如何破解FB密碼,fb密碼破解,破解facebook密碼 專業駭客組織破解密碼 有需要請聯絡電郵hkpj007@outlook.com 聯絡line id:jphk007 《全天24*7在線為你服務》

0愛的鼓勵 0訂閱站台

看我如何發現Facebook密碼漏洞,facebook密碼破解,駭客破解facebook密碼,fb密碼破解

 專業駭客組織破解各種社交程式密碼   有需要請聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》

本文講述了我在Facebook上發現的壹個任意賬戶密碼重置漏洞，利用該漏洞無需用戶交互過程，就可以黑掉任何Facebook賬戶。總體來說，該漏洞非常簡單，但影響和威脅嚴重度較高，最終我獲得了Facebook方面獎勵的$15000美元賞金。

漏洞情況

該漏洞原理在於，我可以獲取任意其他用戶的密碼重置權限，通過簡單地密碼重置操作，我就能獲取到其他賬戶的消息、FB支付區域的借記卡信息、個人照片等其它私隱信息。最終，Facebook確認了該漏洞，並作出了迅速的修復措施。

漏洞分析

當Facebook用戶忘記了登錄密碼之後，有壹種方式就是，在以下』找回賬戶』的連結內輸入個人手機號或註冊郵箱來重置密碼。

 

https://www.facebook.com/login/identify?ctx=recover&lwv=110

 

完成輸入之後，Facebook會向用戶手機或郵箱發送壹個6位數驗證代碼，然後用戶根據提示輸入該6位數驗證碼，最後實現密碼重置。

 

壹開始，我非常笨地去嘗試暴力破解www.facebook.com上生成的這個6位數驗證碼，但在10多次無效測試後，我自己的賬戶就被鎖定了，擦。

 

之後，我就在beta.facebook.com和mbasic.beta.facebook.com上繼續搗鼓，有意思的是，這兩個Facebook的子域名站點在密碼重置服務中，竟然未設置限制登錄的嘗試次數！

 

漏洞測試-POC

我想，那就針對這個發向賬戶手機或郵箱的6位數驗證碼做個暴力測試吧。按照Facebook的漏洞披露策略，測試過程不能對他人賬戶造成影響，於是呢，過了壹會，我就用我自己的Facebook賬戶來進行測試。

 

測試過程大致是這樣的，在以下賬戶找回連結內，輸入目標測試賬戶的註冊手機號或郵箱地址：

 

https://beta.facebook.com/login/identify?ctx=recover&lwv=110

 

https://mbasic.beta.facebook.com/login/identify?ctx=recover&lwv=110

 

輸入之後，點』搜索』，連結會跳轉到壹個6位數驗證碼的確認頁面，此時，拉出BurpSuite，對該頁面中要輸入的6位數驗證碼做暴力猜解。非常讓我意想不到的是，在BurpSuite神器的助力下，在合理範圍內數字組合和稍許時間後，竟然能有效發現目標測試賬戶的這個6位數驗證碼！

 

 

最終，憑著這個6位數驗證碼就能有效重置目標賬戶密碼，有效登錄目標賬戶，實現『找回賬戶』目的，當然也就成功地『黑掉』了目標賬戶，是不是很簡單也很厲害！

 

存在漏洞的請求端

POST /recover/as/code/ HTTP/1.1

 

Host: beta.facebook.com

 

lsd=AVoywo13&n=XXXXX

 

可對上面這個「n」參數涉及的6位XXXXX驗證碼進行暴力猜解，能有效發現發往測試目標賬戶的6位驗證碼，從而實現對目標賬戶的密碼重置和登錄。

專業駭客組織破解各種社交程式密碼   有需要請聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》

漏洞披露進程

2016年2月22日 向Facebook安全團隊上報漏洞

 

2016年2月23日 Facebook方面確認漏洞並完成快速修復

 

2016年3月2日 Facebook向我獎勵了$15,000美元賞金

 專業駭客組織破解各種社交程式密碼   有需要請聯絡電郵hkpj007@outlook.com 《全天24*7在線為你服務》