这是一个创建于 2424 天前的主题,其中的信息可能已经有所发展或是发生改变。
例如链接为 http://wx1.sinaimg.cn/mw690/9d0d09abgy1fj0wcs7aewj20ij0sn12y.jpg 的图
提取文件名 9d0d09abgy1fj0wcs7aewj20ij0sn12y,前 8 位 9d0d09ab 用 16 进制转换下变为 2634877355,就是用户 uid
如果是 http://wx1.sinaimg.cn/mw690/006r2HqOgy1fj7dxg3zuxj30p02a1wry.jpg 这种 005 006 开头的就用 62 进制转
为什么出现这个应该是发现 8 位 16 进制存不下了。。。。
 |
201
plusect 2017-09-05 12:27:59 +08:00 via Android
62 进制。。。真是可 6
|
 |
202
derpc 2017-09-05 12:29:11 +08:00 via iPhone
微信 openid 也研究一波呀老铁
|
 |
203
cqhme 2017-09-05 12:29:58 +08:00 via Android
有种图片隐写
如果微博传图后真有隐藏水印 那么图片元数据里…… 会不会有很多的信息? 虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的 假如能定位至具体哪条微博…… 原微博已删除就返回个 已删除提示…… |
 |
204
nameldk 2017-09-05 12:30:53 +08:00
为毛我感觉这像是内部人员泄露出来的
|
|
205
cqhme 2017-09-05 12:31:02 +08:00 via Android
有种图片隐写
如果微博传图后真有隐藏水印 那么图片元数据里…… 会不会有很多的信息? 虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的 假如能定位至具体哪条微博…… 原微博已删除就返回个 已删除提示…… |
 |
206
closers 2017-09-05 12:39:58 +08:00
可怕
|
 |
208
billwang 2017-09-05 12:43:12 +08:00
牛了,这个应该是用来追溯用的,所以以后发图……
|
 |
209
limhiaoing 2017-09-05 12:46:31 +08:00 via iPhone
碉堡了
|
|
210
cqhme 2017-09-05 12:56:54 +08:00 via Android
有人欢喜有人忧啊
反过来一想 本来微博的图就是个实名制图床(不说百分百已实名 但也得绝大部分“被实名”了吧)能通过图找到原发图人 好像这个逻辑也对啊 合理合法没毛病 |
 |
211
tuibaba 2017-09-05 13:00:37 +08:00
厉害了!
|
 |
212
jinyang656 2017-09-05 13:20:07 +08:00 via Android
Chrome 插件: https://www.v2ex.com/t/388287
|
 |
214
achenme 2017-09-05 13:27:37 +08:00
http://59.110.216.132:8888/?s=
 |
|
215
achenme 2017-09-05 13:28:49 +08:00
#214 被转义了 搜索格式:59.110.216.132:8888/?s=图片地址
|
 |
216
iFlicker 2017-09-05 13:32:43 +08:00
好奇楼主出于什么目的发现的 0.0
|
 |
217
hisway 2017-09-05 13:33:26 +08:00
|
 |
218
kofj 2017-09-05 13:33:33 +08:00
|
 |
219
chen2016 2017-09-05 13:35:41 +08:00
|
 |
222
tryrain 2017-09-05 14:51:33 +08:00
18 个小时 chrome 插件都搞出来了
|
 |
223
Wysten 2017-09-05 15:00:16 +08:00
来波 PHP 版本的 https://github.com/Wysten-Hgg/Weibo-imgauthor 很 low,仅供参考
|
 |
224
shiny 2017-09-05 15:02:38 +08:00
搞了个大新闻,感觉像来自微博的深喉
|
 |
225
yohn 2017-09-05 15:08:50 +08:00
双击 666 铜币走一波
|
 |
226
idclight 2017-09-05 15:13:42 +08:00
一天不到大佬们连插件都弄出来了_(:з)∠)_
|
 |
227
ELLIA 2017-09-05 15:13:55 +08:00
@cqhme 好像是往图片里面加了点啥,我测试了下,原图 42K,上传微博图床以后就变成了 60K,不知道加了点什么料……
http://ww2.sinaimg.cn/thumb150/a15b4afegy1fj8pi5m1o9j21bb0i3whl |
 |
230
gamexg 2017-09-05 15:25:46 +08:00
@nameldk #204 非内部人士应该也能分析出来。同一用户的前缀一致,在分析下去就应该能够明白是 16 进制。
但是那个 62 进制好奇葩。 |
 |
231
keakon 2017-09-05 15:25:51 +08:00
这样实现应该是为了分库时,可以满足查询某个用户的所有图片,而不需要遍历所有库=。=
|
 |
232
Martin9 2017-09-05 15:27:58 +08:00
微博阑夕转载了
|
 |
233
Alex6 2017-09-05 15:43:26 +08:00
厉害厉害
|
 |
234
evagreenworking 2017-09-05 15:48:29 +08:00 via Android
base16 很早就有人发现了 https://www.douban.com/group/topic/87739051/ 不过 base62 能发现确实厉害
|
 |
235
byuan04 2017-09-05 16:09:40 +08:00
6666
|
 |
236
AlisaDestiny 2017-09-05 16:27:06 +08:00
|
 |
237
gongpeione 2017-09-05 16:38:08 +08:00  3
|
 |
238
metowolf 2017-09-05 16:53:40 +08:00
@AlisaDestiny #236
JS 代码,可能文章内容有点短,就... |
 |
239
elfsundae 2017-09-05 17:06:23 +08:00 via iPhone
没玩过微博,不懂大家惊呼什么...
顺路问下这算 bug 吗?我自己网站的图片地址也是关联 uid 的,这样会有哪些问题? |
 |
240
bertonzh 2017-09-05 17:13:04 +08:00
厉害了。。
以前看的一些图片用以图搜图怎么都找不到作者,现在方便了 |
 |
241
qiayue 2017-09-05 17:18:19 +08:00
@elfsundae 很多人把微博图片当图床使用,先把图发到微博(当然是设置不打水印),再获取图片地址之后,删掉微博,发图片到其他网站
|
 |
242
lzhr 2017-09-05 17:26:50 +08:00
|
|
243
elfsundae 2017-09-05 17:46:20 +08:00
|
|
244
elfsundae 2017-09-05 17:47:20 +08:00
大多数程序员都有观察第三方服务的 URL 的习惯吧...
|
 |
245
banewu 2017-09-05 18:25:18 +08:00
厉害
|
 |
246
hqfzone 2017-09-05 18:31:52 +08:00
牛!
|
 |
247
yujizmq 2017-09-05 18:33:29 +08:00 via Android
竟然还有这种操作……还好已经换图床了
|
 |
248
zzcflying 2017-09-05 18:42:42 +08:00
厉害了
|
 |
249
chenshaoju 2017-09-05 19:27:35 +08:00
试一下看看。
 |
 |
250
YORYOR 2017-09-05 20:06:36 +08:00
楼主可以的
|
 |
252
Hzzone 2017-09-05 20:37:18 +08:00
端上铜币
|
 |
253
melvin 2017-09-05 20:38:58 +08:00
62 进制怎么发现的
|
 |
254
kuxiazi 2017-09-05 20:46:04 +08:00
微博图片在线转微博地址工具
https://toolmao.com/tool/img2weibo/ |
 |
255
quietjosen 2017-09-05 20:47:04 +08:00
楼主 666 看来还是自己的图床靠谱 😂
|
 |
256
Showfom 2017-09-05 22:13:14 +08:00
@gongpeione 收藏了,嘿嘿,源码可以用么=。=
|
 |
257
comzyh 2017-09-05 22:36:59 +08:00
感谢楼主,之前做微博爬虫就就发现同一个人发的图片前缀相同了,但是没发现是 62 进制。
其实微博的 mid ( http://weibo.com/2619981000/Fks9mBIR7 中的 "Fks9mBIR7")就是 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ 的 base62,早该想到的。 |
 |
258
bl5c 2017-09-05 23:00:24 +08:00
你们这些拿微博当图床的小心开门查水表 2333~~~
|
 |
259
restran 2017-09-05 23:13:55 +08:00
你好,你也玩 CTF 吗?
|
 |
260
Vizogood 2017-09-06 09:14:19 +08:00
觉得微博登陆太麻烦没用过微博图床....这 62 进制咋知道的...
|
 |
261
AntonChen 2017-09-06 11:50:50 +08:00 via iPhone
服,给大佬递女装
|
|
262
keakon 2017-09-06 15:54:33 +08:00
@YORYOR 你对图片分库时,可以按 hash(url_token[:8]) 来分库,因为头 8 个字节是用户的 uid,所以单个用户的所有图片肯定在一个库里。
|
 |
263
Yuwen 2017-09-06 18:03:40 +08:00
我也写了一个没什么卵用的 Android 版
https://github.com/Omico/WeiboPhotoLinktoPeople |
 |
265
gIrl1990 2019-09-20 21:57:32 +08:00
简单看了下 B 站,不是这规则。
|
 |
266
myhero 2019-09-23 12:59:08 +08:00
厉害 厉害
|
 |
267
lxk11153 2020-03-15 19:27:06 +08:00
|
Select Language
