Este es un post innovador, pues por lo que he visto (por lo menos en españa) no ha salido, y me puedo suponer que aun nadie ha conseguido esto.
Bueno como todos sabeis todo lo que ves en los moviles, tiene que estar almacenado en un sitio. Al igual que tu contraseña en la apk del tuenti, hoy os enseñare como.
Como siempre vuelvo a repetir que este post es solo INFORMATIVO, por lo cual cualquier ejecución inlicita que hagais con la informacion que os proporciono aquí, no es de mi incumbencia.
Bueno empiezo, primero teneis que saber que las contraseñas del tuenti desde hace menos de un año si no recuerdo mal, se empezaron a encriptar en MD5, la especialidad de este es que se pueden encriptar pero es muy complicado desencriptarlas, normalmente sueles necesitar un diccionario. Para que lo entendais, si yo encripto mi contraseña en MD5, vamos a decir que la contraseña es Dynamic pues saldria esto
Dynamic = 971fd8cc345d8bd9f92e9f7d88fdf20c
pero si solo pongo la primera letra, la "D" nos sale esto otro:
D = f623e75af30e62bbd73d6df5b50bb7b5
Vamos que se podria decir que como que no concuerda, por lo que es especialmente dificil decriptarla. Bueno, y os preguntareis, entonces como hace el tuenti para dejarnos entrar a nuestras propias cuentas sin decriptarlas? pues lo que hace es lo siguiente. Nosotros tenemos que ingresar un correo, cual sera nuestro username y una contraseña, esto es bien sencillo. Al ingresar nuestro correo el programa de login le dice que username tiene que buscar en la base de datos y si la encuentra va a por la contraseña y compara la contraseña que esta en la base de datos (encriptada en MD5) con la que nosotros hemos ingresado, encritandola en MD5, si los caracteres son correctos entraras. Si en el login o en la contraseña hay caracteres incorrectos este le dira o que no encuentra el directorio deseado (en caso de el username) o que no coinciden las contraseñas, vamos que te saldra un mensajito diciendote que el correo y/o la contraseña esta mal ingresada en el campo de login. Este es el simple funcionamiento del login del tuenti, montarlo es mas complejo pero desde fuera eso parece.
Bueno ahora a lo que vamos; sabeis XML? no creo, pero no lo vamos a necesitar aun y todo. Ahora quiero que vayais a "data/data/com.tuenti.android.client/shared_prefs/" se me habia olvidado comentar que para esto hay que tenerlo rooteado o por lo menos si lo haceis con bluetooth file transfer o asi pues que podais entrar a root como hacerse root/Bluetooth file transfer, con alguna otras cosas no, pero posiblemente con esto tengais que utilizar la Ingenieria social ya haré un post sobre esta.
En la carpeta "data/data/com.tuenti.android.client/shared_prefs/" hay un archivo llamado com.tuenti.android.client_preferences.xml este archivo esta en xml, posiblemente os lo deje abrir con cualquier editor de texto, y sino os lo abrira con el navegador. Yo personalmente utilizo Notepad++
es gratuito y para mi es el mejor. Bueno tendriais que ver esto:
Bueno como deveriais ver, hay una parte subrayada, a la derecha de esta parte, en la que pone prefs.md5hash tiene que haber un codigo largo (el que esta dentro del circulo, cual es tu contraseña en MD5) espero que no hayais creido que esa es mi contraseña, si os fijais bien es Dynamic en MD5. Bien ahora que tienes la contraseña la tienes que pasar por un diccionario de MD5 a ascii (nuestro ideoma por así decirlo)
Teneis varias paginas:
-http://www.stringfunction.com/md5-decrypter.html (no tiene un diccionario muy grande pero puede serviros)
-http://md5.gromweb.com/?md5=971fd8cc345d8bd9f92e9f7d88fdf20c (este es bastante potente y rapido)
Y por ultimo os dejo un programa para hacer esto si en un momento dado no teneis wi-fi para hacerlo:
Bueno otra cosa que queria comentar habeis visto que habia redondeado en verde un link en el xml? pues bien, este es el api. Al hacer una aplicacion este se necesita, porque de alguna forma se tiene que poder conectar a el tuenti la aplicación;) Esto es para los mas atrevidos, mas bien para los que mas conocimientos tengan, yo ya he hecho un monton de pruebas, y ya he sacado algunos conocimientos mas de todo esto. Ahora os toca a vosotros; mi parte ya esta hecha y espero no haberme arriesgado mucho al haber publicado esto, ya que estoy haciendo una aportacion muy grande a lo que es investigación de bugs y demas, aqui teneis el link de un poco de informacion sobre este api:
espero que os haya servido.
No hay comentarios :
Publicar un comentario