O Instagram-py realiza um ataque de força bruta liso no

Instagram sem qualquer tipo de limitação de senha e

também retoma seu ataque com facilidade.

Por quê?
Na verdade comecei este projeto para uma prova de
conceito de que podemos usar Instagram de força bruta
para sempre.

Quando criei o protótipo e postei no Twitter , muitas

pessoas queriam uma ferramenta simples e inteligente
para executar
ataque de força bruta no Instagram , então pensei por que
reinventar a roda?….

Então eu pesquisei no Github e não encontrei nada de

valor, alguns eram falsos ou mal projetados!
E aqui está uma ferramenta autêntica de força bruta para
Instagram
 Como?
Usamos, tor para mudar nosso ip uma vez bloqueado por
muitas tentativas e continuar o ataque.

Uma vez que a API oficial não é um desejo de um hacker,

então usamos a assinatura InstagramAPK para permanecer
anônimo!

E também salvamos o progresso para que mesmo na

interrupção da rede possamos evitar quebrar o
computador!
Instagram-Py é um script python simples para realizar
ataques básicos de força bruta contra o Instagram ,este
script pode ignorar a limitação de login em senhas erradas,
portanto, basicamente, ele pode testar um número infinito
de senhas .

Instagram-Py está comprovado e pode testar mais de 6

milhões de senhas em uma única conta do instagram com o
mínimo de recursos possível.

Este script imita as atividades do aplicativo oficial

instagram para Android e envia uma solicitação para que
você esteja seguro,mas se a sua instalação tor estiver mal
configurada , a culpa recai sobre você.

Dependencias:

python3 , tor , requests , requests[socks] , stem

Certifique-se de ter a versão mais recente do pip (> = 9.0 e
python (> = 3.6).
usando pip para obter Instagram-py
você tem que instalar python3-setuptools, atualizar pip

sudo easy_install3 -U pip

sudo pip3 install requests --upgrade

sudo pip3 install requests[socks]

sudo pip3 install stem

sudo pip3 install instagram-py

instagram-py

Agora vamos copiar o arquivo de configuração para o seu

disco rígido!

wget -O ~/instapy-config.json "https://git.io/v5DGy"

Configurando Instagram-Py
Abra seu arquivo de configuração encontrado em seu
diretório home, este arquivo é muito importante localizado
em ~ / instapy-config.json , não mude nada, exceto a
configuração

Abra-o com seu editor de texto favorito!

$ vim ~/instapy-config.json

O arquivo de configuração se parece com este:

{ "api-url": "https://i.instagram.com/api/v1/", "user-agent":
"Instagram 10.26.0 Android (18 / 4.3; 320dp .....", " ig-sig-key
":"
4f8732eb9ba7d1c8e8897a75d6474d4eb3f5279137431b2a
afb71fafe2abe178 ", " ig-sig-version ":" 4 ", " tor ": { " server
":" 127.0.0.1 ", " port ":" 9050 ", " protocol ": "socks5",
"control": { "senha": "", "porta": "9051" } } }

api-url : não mude isso a menos que você saiba o que está
fazendo

user-agent : não mude isso a menos que você conheça suas

coisas

ig-sig_key : nunca altere isso, a menos que seja uma nova

versão, ele é extraído do arquivo apk do instagram
tor : mude tudo de acordo com a configuração do seu
servidor tor, não bagunce!

Configurando o servidor Tor para abrir a porta de controle

abra seu arquivo de configuração tor geralmente localizado

em / etc / tor / torrc

$ sudo vim / etc / tor / torrc

Procure o arquivo para esta seção específica

## A porta na qual o Tor escutará as conexões locais dos

aplicativos do controlador do Tor ##, conforme
documentado em control-spec.txt. #ControlPort 9051

Descomente 'ControlPort' excluindo o # antes de

'ControlPort', agora salve o arquivo e reinicie seu servidor
para
agora você está pronto para quebrar qualquer conta do
instagram, certifique-se de que a configuração do tor
corresponda a ~ / instapy-config.json

Finalmente , agora você pode usar o instagram-py!

$ instagram-py your_account_username
path_to_password_list

Algoritmo:

Instagram-Py usa um algoritmo muito simples para verificar

as senhas de forma eficiente, esta seção é dedicada a quem
deseja recriar este programa em qualquer outro idioma.

O que nós fazemos

Etapa 1: Obtenha o cookie mágico, que é usado para
verificar a integridade do dispositivo!

Obter o magic cookie é o trabalho mais simples, tudo o que

precisamos fazer é enviar uma solicitação get
para https://i.instagram.com/api/v1/si/fetch_headers/?
challenge_type=signup&guid= , onde o parâmetro guid
get é uma string aleatória de 32 caracteres. A string
aleatória de 32 caracteres pode ser gerada usando a
biblioteca uuid simples do python , para ser v4 específico
do UUID . Então, finalmente, só temos que solicitar o
url https://i.instagram.com/api/v1/si/fetch_headers/?challe
nge_type=signup&guid=800e88b931bf491fa3b4a7afa4e67
9eb e obter o cookie chamado csrftoken , se observarmos o
cabeçalho de resposta, poderemos ver que nosso cookie só
expira a seguirano no mesmo dia. Então, com isso, só temos
que fazer esse pedido uma vez e podemos usá-lo por um
ano! Quão vulnerável é isso? ...

Crie uma solicitação de postagem com a assinatura do

Instagram.

Esta parte é simples, mas pode ser difícil de configurar,

primeiro preciso obter a assinatura do instagram, que só
está presente no apk gratuito do Google Play. Lembre-se
de que nossa força pode ser nossa fraqueza . Tudo o que
preciso fazer é fazer engenharia reversa do apk e encontrar
assinatura, vamos chamá-lo de ig_sig .

ig_sig =
4f8732eb9ba7d1c8e8897a75d6474d4eb3f5279137431b2a
afb71fafe2abe178
ig_version = 4

O Instagram usa autenticação HMAC para fazer login, então

vamos usar a biblioteca hmac do python . Mas primeiro
temos que construir nosso corpo, que será codificado em
json para que ele realmente assine com ig_sig , então o
corpo do post é assim ...

phone_id = <RANDOM 32 CHARACTER STRING SEPERATED

WITH - em EQUAL INTERVALS> _csrftoken = <THE MAGIC
COOKIE THAT WE GOT!> username = <TARGET ACCOUNT>
guid = <RANDOM 32 CHARACTER STRING SEPERATED
WITH - em EQUAL INTERVALS> device_id = android- <
RANDOM 16 CHARACTER STRING> senha = <SENHA PARA
TENTAR> login_attempt_count = 0

O código acima será codificado em JSON . Portanto, para

testar a senha, temos que postar os dados neste
url https://i.instagram.com/api/v1/accounts/login/ig_sig_ke
y_version=4&signed_body=<SIGNED BODY>. < URL
ENCODED JSON DATA> .

<CORPO ASSINADO>: usando HMAC , assine nossos dados

codificados em json com ig_sig e retorne um valor hexa.

<URL ENCODED JSON DATA>: os mesmos dados em json

mas nós codificamos url para que vá corretamente para
insta!
Portanto, para testar uma conta com nome de usuário
como NOME DE USUÁRIO e senha com PASSWORD ,
simplesmente solicitamos este url:
https://i.instagram.com/api/v1/accounts/login/ig_sig_key_v
ersion=4&signed_body=bc90e1b7d430f39152e92b4e7d51
7bfb231dbeid%530ed2071.78c783fb4%76%422c8c3783dc
f7phonec72276_phonec % 20% 2232abb45c-f605-4fd7-
9b5e-674115516b90% 22% 2C% 20% 22_csrftoken% 22%
3A% 20% 22PyMH2niVQrk41UIBW0lKilleG7GylluQ% 22%
2C% 20% 22username% 22% 2CNOME% 20% 2CER% 22%
USERNAME 20% % 22guid% 22% 3A% 20% 2267ca220c-
a9eb-4240-b173-2d253808904d% 22% 2C% 20%
22device_id% 22% 3A% 20% 22android-
283abce46cb0a0bcef4% 22% 2C% 20% 22password% 22%
3A% 20 % 22PASSWORD% 22% 2C% 20%
22login_attempt_count% 22% 3A% 20% 220% 22% 7D

Veja como eu fiz ...

Com a resposta json e o código de resposta, determinamos

que a senha está correta ou errada.

se obtivermos a resposta 200 , o login foi bem-sucedido,

mas se obtivermos a resposta 400 , inspecionamos os dados
json em busca de pistas se é a senha correta ou solicitação
inválida ou muitas tentativas . Portanto, inspecionamos a
mensagem da resposta do instagram json!

Mensagem = Desafio necessário , então a senha está

correta, mas o instagram tem algumas perguntas, então
devemos esperar até que o usuário faça login e responda à
pergunta e se tivermos sorte ele não vai mudar a senha e
poderemos fazer o login mais tarde (na maioria das vezes
as pessoas não mudarão a senha! )

Mensagem = A senha que você digitou está incorreta. ,

então a senha está incorreta com certeza, tente outra.

Mensagem como algo como palavra inválida nela então ,

algum outro erro então tente novamente, pode acontecer
por causa do erro de codificação da lista de palavras que eu
ignorei porque toda a lista mundial tem erro de codificação!

Mensagem = Muitas tentativas , hora de mudar nosso ip e

loop, mas não queremos mudar nosso cookie mágico
É isso que você acabou de hackear o instagram com um
algoritmo muito simples!