elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
12 Febrero 2012, 13:19  


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  FQL Injection (?)
0 Usuarios y 3 Visitantes están viendo este tema.
Páginas: 1 [2] 3 4 Ir Abajo Respuesta Imprimir
Autor Tema: FQL Injection (?)  (Leído 22,467 veces)
Novlucker
Ninja y
Ex-Staff
*
Desconectado Desconectado

Mensajes: 10.225


Yo que tu lo pienso dos veces


Ver Perfil
Re: FQL Injection (?)
« Respuesta #15 en: 15 Marzo 2009, 23:46 »

El problema debe de estar aquí  :P
Esta url genera confusión, o bueno, a mi me la generó  :-X
http://www.facebook.com/profile.php?id=MIID&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=MIID

Así esta mejor:
http://www.facebook.com/profile.php?id=IDUsuario&v=photos&viewas=MIID#/album.php?aid=yyyyyyy&id=IDUsuario

Al principio ponía Mi ID en todos los campos donde lo decía, pero resulta que el primero y el último son del usuario "victima", solo en el del medio hay que poner la nuestra, y si estaban haciendo esto les debería de decir que "no estaba disponible"  :P

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

TRICKY
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.587


Ver Perfil
Re: FQL Injection (?)
« Respuesta #16 en: 15 Marzo 2009, 23:47 »

Que tal.

A ver, los que dicen que pueden, pueden hacer algo?
Busquen entre los amigos de sus amigos alguien que no tenga el hypervinculo activado en su nombre ( esto denotara que tiene impuestas restricciones para ver su perfil, y estos son los INTERESANTES ).
Tras ello pues hagan SOLO un click en su foto, y posen el puntero del raton sobre el link como para mandarles un mensaje.
Con el puntero posado, en la parte inferior ( informativa de links ) del Browser podremos obtener su ID.

Bien, tras ello hacemos todo el proceso con la API como se ha citado, para hacernos con el aid.

Pueden ver el album de esa persona??


Suerte.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
EvilGoblin


Desconectado Desconectado

Mensajes: 2.320


YO NO LA VOTE!


Ver Perfil
Re: FQL Injection (?)
« Respuesta #17 en: 15 Marzo 2009, 23:49 »

Sip ... verdaderamente bueno ^_^ pero veo muchas opciones.. quizas tenga otras cosas para jugar  =D


^^
En línea

Experimental Serial Lain [Linux User]
sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.946


Lavando Platos


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #18 en: 16 Marzo 2009, 00:06 »

Miren, otro ejemplo:
http://www.facebook.com/profile.php?id=4 (el creador de facebook, perfil privado)

Código
SELECT link FROM album WHERE owner=4

Código
<?xml version="1.0" encoding="UTF-8"?>
 
<fql_query_response xmlns="http://api.facebook.com/1.0/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" list="true">
 
 <album>
 
   <link>http://www.facebook.com/album.php?aid=2204760&amp;id=4</link>
 
 </album>
 
 <album>
 
   <link>http://www.facebook.com/album.php?aid=2047231&amp;id=4</link>
 
 </album>
 
 <album>
 
   <link>http://www.facebook.com/album.php?aid=2034080&amp;id=4</link>
 
 </album>
 
 <album>
 
   <link>http://www.facebook.com/album.php?aid=2002684&amp;id=4</link>
 
 </album>
 
</fql_query_response>
 
 

Funciona ;)


Saludos!!
« Última modificación: 16 Marzo 2009, 00:11 por sirdarckcat » En línea

sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.946


Lavando Platos


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #19 en: 16 Marzo 2009, 00:09 »

Ahhh ya vi su error XDDD

Estaban poniendo &amp; en el link jajaja.. deben cambiar &amp; por &, porque XML convierte chars como & a su entidad en HTML.

Saludos!!
En línea

Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.704


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #20 en: 16 Marzo 2009, 00:14 »

Funciona con eso que me pasaste si, pero con el ID que estoy usando yo no, asi que algo raro en los permisos toco porque el ID lo estoy poniendo bien, a seguir probando no mas.
En línea


@NeedOfSecurity

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
N1K0
Visitante


Email
Re: FQL Injection (?)
« Respuesta #21 en: 16 Marzo 2009, 00:14 »

A mi si me funciona probe varias veces y me devuelve arrays con los links de los albums pero otras veces me devulve <empty string> (uso facebook php client como response format)o por ejemplo quise entrar por segunda vez al link que dejaste sirdarckcat y me aparece el mensaje que le aparecia a averno.... osea la primera vez lo visualize bien pero despues ya no...

Saludos
En línea
sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.946


Lavando Platos


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #22 en: 16 Marzo 2009, 00:16 »

Esto sirve para ver personas con su perfil privado.

Los albums tienen permisos extra, por lo que pueden ver fotos de personas con su perfil privado, PEEEERO no pueden ver fotos de albums privados.

Saludos!!
En línea

sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.946


Lavando Platos


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #23 en: 16 Marzo 2009, 00:18 »

A mi si me funciona probe varias veces y me devuelve arrays con los links de los albums pero otras veces me devulve <empty string> (uso facebook php client como response format)o por ejemplo quise entrar por segunda vez al link que dejaste sirdarckcat y me aparece el mensaje que le aparecia a averno.... osea la primera vez lo visualize bien pero despues ya no...

Saludos
Respuesta:
Ahhh ya vi su error XDDD

Estaban poniendo &amp; en el link jajaja.. deben cambiar &amp; por &, porque XML convierte chars como & a su entidad en HTML.

Saludos!!
En línea

TRICKY
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.587


Ver Perfil
Re: FQL Injection (?)
« Respuesta #24 en: 16 Marzo 2009, 00:19 »

Que tal.

Exacto, si sus albumes son privados ( tienen permisos extra, me lo acaba de decir mi novia /* que usa facebook mogollon */ y sdc :__))  no podremos ver nada.


Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.704


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #25 en: 16 Marzo 2009, 00:20 »

Claro, es eso entonces, entonces solo se podran ver la foto del perfil y poco mas. Igual voy a seguir probando algo mas tiene que haber, aunque ahora Tools me anda para atras :S ni siquiera carga XD
En línea


@NeedOfSecurity

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
N1K0
Visitante


Email
Re: FQL Injection (?)
« Respuesta #26 en: 16 Marzo 2009, 00:23 »

A mi si me funciona probe varias veces y me devuelve arrays con los links de los albums pero otras veces me devulve <empty string> (uso facebook php client como response format)o por ejemplo quise entrar por segunda vez al link que dejaste sirdarckcat y me aparece el mensaje que le aparecia a averno.... osea la primera vez lo visualize bien pero despues ya no...

Saludos
Respuesta:
Ahhh ya vi su error XDDD

Estaban poniendo &amp; en el link jajaja.. deben cambiar &amp; por &, porque XML convierte chars como & a su entidad en HTML.

Saludos!!
me referia a este link http://www.facebook.com/album.php?aid=63080&id=532437297
ingrese un vez y lo visualize pero luego me aparece :

Citar
Este contenido no está disponible en estos momentos

La página que has solicitado no puede mostrarse en estos momentos. Puede que no esté disponible temporalmente, el enlace puede haber expirado o puede que no tengas permiso para visualizarla.
Saludos
En línea
sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.946


Lavando Platos


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #27 en: 16 Marzo 2009, 00:26 »

Ahh disculpa, esque estaba haciendo pruebas con lo de privacidad.

Saludos!!
En línea

Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.704


Nie Dam Sie


Ver Perfil WWW
Re: FQL Injection (?)
« Respuesta #28 en: 16 Marzo 2009, 00:30 »

Pues si, anda, seguro cuando tira empty es porque o no hay albums o estan todos con los permisos en privado.
En línea


@NeedOfSecurity

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
N1K0
Visitante


Email
Re: FQL Injection (?)
« Respuesta #29 en: 16 Marzo 2009, 00:33 »

Pues si, anda, seguro cuando tira empty es porque o no hay albums o estan todos con los permisos en privado.
Eso es lo que pensaba yo pero probe con el ejemplo de sdc y me funciono y obtube la url del album con una foto luego lo intente de nuevo y me arrojaba empty por eso es q no lo entiendo...

Edit ...
estaba probando un par de cosas con unas tablas y me aparecio esto en la pagina
Citar
¡Estás aproximándote al límite de la consola de test de API!

¡Frena o podrías golpear un bloque!
a que se refieren con golpear un bloque?
« Última modificación: 16 Marzo 2009, 00:48 por N1K0 » En línea
Páginas: 1 [2] 3 4 Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines