Domanda Creepy (Geolocation OSINT Tool) - Instagram plugin

Ordina per data Ordina commenti per reazioni

☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣

Utente Emerald
18 Dicembre 2014
353
80
167
375
Qualcuno usa Creepy (https://geocreepy.com), il Geolocation OSINT Tool?

Non riesco a far funzionare il plugin di Instagram, poiché avvio il Wizard di configurazione, apro nel browser il link che compare, effettuo il login ad Instagram, ma invece di venire rediretta al sito geocreepy.com/get_token un messaggio di errore dice "Invalid Client ID".

Ho provato ad ottenere manualmente i parametri che servono, ma non trovo il Token, il Client ID, etc.
Questi sono i parametri necessari a far funzionare il plugin:
creepyplugins.PNG


Grazie a chi mi riuscirà ad aiutare.
 
Usando OSIF ho visto che prendeva queste info(il Token, il Client ID, etc.) direttamente dai cookie dopo aver fatto l'accesso con Facebook sul browser.
Ora non so se è possibile recuperare ciò che ti serve dai cookie manualmente, so poca roba in materia
 
Ultima modifica:
immagino che tu abbia già dato un'occhiata alla documentazione di Facebook , nel frattempo sto provando a smanettare un pò con sta roba:

- Panoramica
-Api instagram basic display
-Utente
Messaggio unito automaticamente:

segui questa guida sulle API Instagram io sono riuscito a recuperare il token e ll client id del mio profilo, il client secret si trova nella pagina "Basic Display"

Schermata 2021-04-25 alle 01.02.28.png


sarebbe la "chiave segreta Instagram"

Schermata 2021-04-25 alle 01.00.53.png


per il sito ho usato una pagina creata con GitHub, e il mio account come test user.
Per quanto riguarda le chiamate cUrl finali occhio agli spazi tra gli = e i codici(ma non so se le eseguirai, il token lo recuperi nel passaggio prima) , anche nel passaggio 4 ti consiglio di eliminare l'indentazione, altrimenti rimangono gli spazi sul url.
 
  • Mi piace
Reazioni: ☣ᴋɪʟʟ ꜰᴏʀ ᴛʜᴇ ᴛʜʀɪʟʟ☣
Ultima modifica:
Esatto, (aspetta a ringraziarmi :D ) a parte questi accorgimenti dovresti riuscire a trovare le info che ti servono, fammi sapere se funziona che nel caso tiro giù uno script in bash per i vari cUrl in modo da poter automatizzare la seconda parte della guida.
 
Ultima modifica:
Ehm... mi sto incasinando tra ID dell'App e ID dell'User Tester, ad ogni modo ho provato in 2 modi:

- Dove Creepy chiede Client Secret ho inserito la stringa di Instagram App Secret;
- Redirect url: https://geocreepy.com/get_token
- Access Token: quella stringa lunghissima che si può generare per un utente dopo aver aggiunto il Tester User
- Client ID: numero corrispondente all'account Tester User

Secondo metodo:

- Tutto uguale tranne l'ultimo punto: ho inserito il numero Instagram App ID

Non funziona in nessun modo :/ Eppure ho inserito il mio account come Tester Instagram, è pubblico e non ha attiva la 2FA.
Messaggio unito automaticamente:

In pratica io vado in Instagram Basic Display della mia app Instagram, poi non ho capito se devo mettere l'ID dell'app o ID app Instagram, ovvero uno di quei due codici in nero, poi beh c'è App Instagram Secret e poi genero il Token per l'User Tester (che sono io) e lo immetto in Creepy direttamente, senza avviare il Run Wizard, giusto?

IGcreepy0.png


Ebbene, dice così :omfg:

geocreepy.PNG


Ma secondo me a questo punto non si devono cercare l'App Secret ID, etc., perché fanno riferimento alla MIA app Instagram, ma vanno invece lasciati quelli coperti dai pallini nel client Cree.py, che fanno riferimento all'app di Cree.py. Bisognerebbe ottenere solo il Token, ma è inutile che genero un Token per la mia app e il mio User Test, c'è un errore perché il progetto non è più implementato.
 
Psychonaut ha detto:
Quindi è per questo che non gira!?
Sinceramente non saprei come reperire il token di Creepy.
Clicca per espandere...
Non so se Cree.py può accedere tramite la mia app fittizia (non esiste un'app in realtà, ho solo scritto un nome random e messo dei dati casuali), comunque utilizzando quelle precise ID e stringhe appartenenti alla mia app e fare il lavoro che dovrebbe, oppure se non bisogna toccare i parametri coperti dai pallini nell'interfaccia del plugin Instagram di Cree.py, poiché fanno riferimento a quelli della sua app di Instagram.

Ad ogni modo, come vedi, qualsiasi prova ha portato all'errore presente nello screenshot del mio messaggio precedente, ovvero al messaggio «The access token provided is invalid».
Messaggio unito automaticamente:

Nella homepage di geocreepy.com si legge questo

geocreepynotmaint.PNG
 

DISCUSSIONI SIMILI

N
Discussione OSINT 2024 - Sherlock (remake)
  • 6
  • 406
6
406
Advanced Hacking
MRPants
N
Discussione Come ho capitalizzato il mio fallimento al bug bounty di Instagram
  • Chiuso
  • 0
  • 286
0
286
Sicurezza Informatica
Netcat
0
Discussione Sfruttare una SSTI tramite delle funzionalità non documentate in EJS
  • 0
  • 2K
0
2K
Pentesting e Ethical Hacking
0xbro
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
Top Bottom
Indietro