首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉勾
V2EX  ›  程序员

发现微博图片可以链接找到发图的人

  asuka321 · 2017-09-04 20:36:34 +08:00 · 40118 次点击
这是一个创建于 470 天前的主题,其中的信息可能已经有所发展或是发生改变。

例如链接为 http://wx1.sinaimg.cn/mw690/9d0d09abgy1fj0wcs7aewj20ij0sn12y.jpg 的图

提取文件名 9d0d09abgy1fj0wcs7aewj20ij0sn12y,前 8 位 9d0d09ab 用 16 进制转换下变为 2634877355,就是用户 uid

如果是 http://wx1.sinaimg.cn/mw690/006r2HqOgy1fj7dxg3zuxj30p02a1wry.jpg 这种 005 006 开头的就用 62 进制转

为什么出现这个应该是发现 8 位 16 进制存不下了。。。。

264 回复  |  直到 2017-09-06 22:33:36 +08:00
1  2  3  
    201
plusect   2017-09-05 12:27:59 +08:00 via Android
62 进制。。。真是可 6
    202
derpc   2017-09-05 12:29:11 +08:00 via iPhone
微信 openid 也研究一波呀老铁
    203
cqhme   2017-09-05 12:29:58 +08:00 via Android
有种图片隐写

如果微博传图后真有隐藏水印 那么图片元数据里……
会不会有很多的信息?

虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的

假如能定位至具体哪条微博…… 原微博已删除就返回个 已删除提示……
    204
nameldk   2017-09-05 12:30:53 +08:00
为毛我感觉这像是内部人员泄露出来的
    205
cqhme   2017-09-05 12:31:02 +08:00 via Android
有种图片隐写

如果微博传图后真有隐藏水印 那么图片元数据里……
会不会有很多的信息?

虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的

假如能定位至具体哪条微博……

原微博已删除就返回个 已删除提示……
    206
closers   2017-09-05 12:39:58 +08:00
可怕
    207
murmur   2017-09-05 12:42:18 +08:00
@trydie 有关部门会用这个追查你非法言论?发非法言论不会换小号么
    208
billwang   2017-09-05 12:43:12 +08:00
牛了,这个应该是用来追溯用的,所以以后发图……
    209
limhiaoing   2017-09-05 12:46:31 +08:00 via iPhone
碉堡了
    210
cqhme   2017-09-05 12:56:54 +08:00 via Android
有人欢喜有人忧啊

反过来一想 本来微博的图就是个实名制图床(不说百分百已实名 但也得绝大部分“被实名”了吧)能通过图找到原发图人 好像这个逻辑也对啊 合理合法没毛病
    211
tuibaba   2017-09-05 13:00:37 +08:00
厉害了!
    212
jinyang656   2017-09-05 13:20:07 +08:00 via Android
    213
gkroot   2017-09-05 13:21:28 +08:00 via iPhone
@hisway php 代码能否给下😂小白一个
    214
achenme   2017-09-05 13:27:37 +08:00
http://59.110.216.132:8888/?s=
    215
achenme   2017-09-05 13:28:49 +08:00
#214 被转义了 搜索格式:59.110.216.132:8888/?s=图片地址
    216
iFlicker   2017-09-05 13:32:43 +08:00
好奇楼主出于什么目的发现的 0.0
    217
hisway   2017-09-05 13:33:26 +08:00
    218
kofj   2017-09-05 13:33:33 +08:00
我也来个 Golang 版本的:
github.com/kofj/imgauthor

移植自 @metowolf 的 js 版本代码
    219
chen2016   2017-09-05 13:35:41 +08:00
![d9350ac0-d6d0-436a-90a2-15f124a92d3e.png]( https://i.loli.net/2017/09/05/59ae376d97827.png)
    220
wsph123   2017-09-05 13:41:51 +08:00
@lzhr
@metowolf
这个是单纯的账号状态不对,卧槽有点慌张🤣
    221
wsph123   2017-09-05 13:43:03 +08:00
@cqhme 你发的微博里面的配图可以是微博上任意的图片,并不局限于自己上传的部分
    222
tryrain   2017-09-05 14:51:33 +08:00
18 个小时 chrome 插件都搞出来了
    223
Wysten   2017-09-05 15:00:16 +08:00
来波 PHP 版本的 https://github.com/Wysten-Hgg/Weibo-imgauthor 很 low,仅供参考
    224
shiny   2017-09-05 15:02:38 +08:00
搞了个大新闻,感觉像来自微博的深喉
    225
yohn   2017-09-05 15:08:50 +08:00
双击 666 铜币走一波
    226
idclight   2017-09-05 15:13:42 +08:00
一天不到大佬们连插件都弄出来了_(:з)∠)_
    227
ELLIA   2017-09-05 15:13:55 +08:00
@cqhme 好像是往图片里面加了点啥,我测试了下,原图 42K,上传微博图床以后就变成了 60K,不知道加了点什么料……

http://ww2.sinaimg.cn/thumb150/a15b4afegy1fj8pi5m1o9j21bb0i3whl
    228
ELLIA   2017-09-05 15:14:19 +08:00
@ELLIA 图片网址弄错了:
    229
ELLIA   2017-09-05 15:23:20 +08:00
@lzhr 这个图床貌似也可以给找出来了…
    230
gamexg   2017-09-05 15:25:46 +08:00
@nameldk #204 非内部人士应该也能分析出来。同一用户的前缀一致,在分析下去就应该能够明白是 16 进制。
但是那个 62 进制好奇葩。
    231
keakon   2017-09-05 15:25:51 +08:00
这样实现应该是为了分库时,可以满足查询某个用户的所有图片,而不需要遍历所有库=。=
    232
Martin9   2017-09-05 15:27:58 +08:00
微博阑夕转载了
    233
Alex6   2017-09-05 15:43:26 +08:00
厉害厉害
    234
evagreenworking   2017-09-05 15:48:29 +08:00 via Android
base16 很早就有人发现了 https://www.douban.com/group/topic/87739051/ 不过 base62 能发现确实厉害
    235
byuan04   2017-09-05 16:09:40 +08:00
6666
    236
AlisaDestiny   2017-09-05 16:27:06 +08:00
@metowolf 你网站的摘要居然能看见代码。
https://i.loli.net/2017/09/05/59ae5f8442e86.png
    237
gongpeione   2017-09-05 16:38:08 +08:00   ♥ 3
    238
metowolf   2017-09-05 16:53:40 +08:00
@AlisaDestiny #236
JS 代码,可能文章内容有点短,就...
    239
elfsundae   2017-09-05 17:06:23 +08:00 via iPhone
没玩过微博,不懂大家惊呼什么...

顺路问下这算 bug 吗?我自己网站的图片地址也是关联 uid 的,这样会有哪些问题?
    240
bertonzh   2017-09-05 17:13:04 +08:00
厉害了。。
以前看的一些图片用以图搜图怎么都找不到作者,现在方便了
    241
qiayue   2017-09-05 17:18:19 +08:00
@elfsundae 很多人把微博图片当图床使用,先把图发到微博(当然是设置不打水印),再获取图片地址之后,删掉微博,发图片到其他网站
    242
lzhr   2017-09-05 17:26:50 +08:00
@elfsundae #239 比如在煎蛋妹子图 匿名开车,这个地址就会暴露微博帐号。不该算 bug,微博用户没有任何影响。
@qiayue #241 一般是用插件吧,不用发微博
    243
elfsundae   2017-09-05 17:46:20 +08:00
@lzhr
@qiayue
谢谢。看来对我没啥影响.. 奇怪的是微博都好几年了,竟然没人发现?!大多数程序员都有顺眼研究第三方服务的 URL 吧
    244
elfsundae   2017-09-05 17:47:20 +08:00
大多数程序员都有观察第三方服务的 URL 的习惯吧...
    245
banewu   2017-09-05 18:25:18 +08:00
厉害
    246
hqfzone   2017-09-05 18:31:52 +08:00
牛!
    247
yujizmq   2017-09-05 18:33:29 +08:00 via Android
竟然还有这种操作……还好已经换图床了
    248
zzcflying   2017-09-05 18:42:42 +08:00
厉害了
    249
chenshaoju   2017-09-05 19:27:35 +08:00
试一下看看。

    250
YORYOR   2017-09-05 20:06:36 +08:00
楼主可以的
    251
YORYOR   2017-09-05 20:10:10 +08:00
@keakon 没懂。。能否解释下。。
    252
Hzzone   2017-09-05 20:37:18 +08:00
端上铜币
    253
melvin   2017-09-05 20:38:58 +08:00
62 进制怎么发现的
    254
kuxiazi   2017-09-05 20:46:04 +08:00
微博图片在线转微博地址工具
https://toolmao.com/tool/img2weibo/
    255
quietjosen   2017-09-05 20:47:04 +08:00
楼主 666 看来还是自己的图床靠谱 😂
    256
Showfom   2017-09-05 22:13:14 +08:00
@gongpeione 收藏了,嘿嘿,源码可以用么=。=
    257
comzyh   2017-09-05 22:36:59 +08:00
感谢楼主,之前做微博爬虫就就发现同一个人发的图片前缀相同了,但是没发现是 62 进制。

其实微博的 mid ( http://weibo.com/2619981000/Fks9mBIR7 中的 "Fks9mBIR7")就是 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ 的 base62,早该想到的。
    258
bl5c   2017-09-05 23:00:24 +08:00
你们这些拿微博当图床的小心开门查水表 2333~~~
    259
restran   2017-09-05 23:13:55 +08:00
你好,你也玩 CTF 吗?
    260
Vizogood   2017-09-06 09:14:19 +08:00
觉得微博登陆太麻烦没用过微博图床....这 62 进制咋知道的...
    261
AntonChen   2017-09-06 11:50:50 +08:00 via iPhone
服,给大佬递女装
    262
keakon   2017-09-06 15:54:33 +08:00
@YORYOR 你对图片分库时,可以按 hash(url_token[:8]) 来分库,因为头 8 个字节是用户的 uid,所以单个用户的所有图片肯定在一个库里。
    263
Yuwen   2017-09-06 18:03:40 +08:00
我也写了一个没什么卵用的 Android 版
https://github.com/Omico/WeiboPhotoLinktoPeople
    264
trydie   2017-09-06 22:33:36 +08:00
@murmur 很多小白不经意间引发的争议
1  2  3  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   829 人在线   最高记录 4019   ·  
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 23ms · UTC 19:38 · PVG 03:38 · LAX 11:38 · JFK 14:38
♥ Do have faith in what you're doing.
沪ICP备16043287号-1