GetContact

Недавно очередную волну популярности собрало приложение GetContact, которое позволяет просматривать информацию о том, как тот или иной номер записан в телефонной книге у тех, кто уже ставил это приложение и совершил глупость - поделился своей адресной книги.
На волне популярности кто-то даже сделал бота в Telegram - @PhoneToNameBot.
Я тоже заинтересовался этим сервисом и для упрощения просмотра написал небольшой PHP-скрипт, который запрашивает сервис по номеру телефона и выводит всю имеющуюся по нему информацию в виде таблицы.

При наличии аватара и дополнительных имен, они тоже выводятся, просто не нашел номера, на котором это получилось бы продемонстрировать.

Для работы требуется token, который можно самостоятельно получить, настроив работу телефона или эмулятора через какой-нибудь MitM proxy (Charles, Burp Suite, Fiddler и т.п.).

Ссылка на скрипт: скачать

GetContact: 19 комментариев

  1. Теперь ясно откуда в сторах столько клонов этой утилиты.

    Спасибо за скрипт! А через эмулятор получится разве токен выцепить? В плане софт не попросит симку, например?

  2. Балин, перестал работать запрос. Причем на эмуляторе после первого запроса через сразу ралогин в приложении. Только сегодня это произошло. До этого парсил по 2к номеров с разными токенами и через прокси. Телеграм-бот работает ок, есть мысли?

    1. Какая реакция сейчас при свежем токене и через прокси? Сразу ошибка? Запрос, если поснифать приложение, не изменился?

  3. Здравствуйте!
    А как сделать так, что бы скрипт подхватывался из txt файлика номер телефона и проверял все контакты по очереди?

    1. 1. Ставить https://portswigger.net/burp/communitydownload и https://www.genymotion.com/
      2. Запустить Genymotion
      3. Запустить Burp Suite, запомнить адрес и порт прокси
      4. Создать устройство, запустить, установить CA - https://support.portswigger.net/customer/portal/articles/1841102-installing-burp-s-ca-certificate-in-an-android-device
      5. Установить SuperSU, Xposed и https://github.com/ac-pm/SSLUnpinning_Xposed
      6. Установить GetContact, настроить SSLUnpinning для него
      7. Запустить GetContact и убедиться, что в Burp Suite виден трафик на https://getcontact.com
      8. Загрузить APK GetContact в http://www.javadecompilers.com/apk
      9. Сидеть и смотреть трафик, а также изучать декомпилированный код, чтобы понять, как формируется тело запроса при задании номера, подтверждении его кодом и далее.
      10. Эмулировать действия необходимым образом, получить token из одного из ответов веб-сервера

      1. Подскажите как формируется sha-1 в строке sv? никак не могу понять..я так понимаю PHONEsomestringSOMEID? куда копать?

  4. Правильно ли я понимаю, что это будут данные о людях в том виде как кто-то их указал у себя в телефоне? И соц. сети и т.д. в спарсенных данных будут указываться редко. Напишите кто-то кто юзал парсер уже.

  5. Привет) Хотел тебя спросить по поводу реверса одного .net файла. может слышал есть такая программа zennoproxychecker от zennolab. вот речь именно о ней. Я сумел расковырять до полностью читабельного вида их capmonster, но к zennoproxychecker не могу подобраться не на шаг =\ Было бы круто если бы ты смог посмотреть на него. Очень интересного чем же там оно так запрятано.

      1. да там была проблема что писало что .net reactor а ни одна из текущих сборок (ни для 4.8 ни для 4.9 ни для 5.0) не брала его. Проблема решилась тупо скачиванием САМОГО последнего билда de4dot который был 3 дня назад он без запинки справился.

  6. Привет, Бро! Не так давно узнал о этом сайте. Он прекрасен. Но я хотел заглянуть на форум, а он недоступен.. Восстанавливать планируете? Мне кажется, что я многое потерял :(

    1. Да на нем ничего особенного не было. В крайнем случае можно попробовать посмотреть, что сохранилось на web.archive.org по форуму.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *