http://eedumont.blogspot.tw/2008/11/blog-post.html
真~~無名密碼相簿破解<圖文教學>

~寫這篇的用意為告訴各位使用無名小站的用戶 ~

~有秘密相簿還是隱藏起來吧 ~

~無名是很爛的~

By EeDumont 2008.11.4

A需要工具:

1.迅雷下載程式

2.Firefox瀏覽器<可有可無主要用途為破解無名右鍵之用途>

3.具有漏洞的無名密碼相簿<請勿做不正當用途>

B漏洞成因:

網誌或背景有使用到密碼相簿內的照片

C使用方法

1.有防右鍵 使用Firefox 停用JAVA 來破解

<也可在網址列輸入 javascript: (function(){ var bd = document.getElementsByTagName('body')[0]; bd.setAttribute('onDragStart',''); bd.setAttribute('oncontextmenu',''); bd.setAttribute('onSelectStart','');})();

來破解右鍵>

2.觀察有用到密碼相簿的圖片的檔案名稱

3.看原圖OK 但接下來的圖片並不支援瀏覽器觀看

4.使用迅雷批量下載

http:/f4.wretch.yimg.com/XXXXXXXX/YYYYY/1426876(*).jpg

(*)為變動數

D漏洞解說:

無名的圖片檔名是以unix的時間格式寫成的

所以一般來說,每一本相簿裡的圖如果上傳時間相近或是為批次上傳

那麼同一本相簿裡的圖片檔名應該會是連號或是很相近的數字

因此如果你知道了其中一張圖片的檔名

你可以向上向下尋找同一本相簿裡妳沒開過的被鎖上的圖片

這就是無名小站安全上很大的漏洞

你能知道檔案名稱

就可以看光她同一本相簿的圖片

而無任何問題

同一時間上傳之圖片

檔名改變為+1

http:/f4.wretch.yimg.com/XXXXXXXX/YYYYY/142687640.jpg

http:/f4.wretch.yimg.com/XXXXXXXX/YYYYY/142687641.jpg

http:/f4.wretch.yimg.com/XXXXXXXX/YYYYY/142687642.jpg

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~以下為圖文教學~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1.這是一本性感的加密相簿 <當然這是我自己創出來做教學的相簿>

2008-11-04_2053

2.有密碼進不去 : (

2008-11-04_2054

3.有防右鍵 使用Firefox 停用JAVA 來破解

2008-11-04_2007

4.右鍵點圖點<屬性> 得知圖片位置

2008-11-04_2012

5.打開迅雷<新增批量工作>

2008-11-04_2043

6.把檔案位置貼上

2008-11-04_2045

7.設定抓取

把1412885803改成14128858(*)

用意在於自動更改後兩位數之檔名

下載後面檔名為01~20 的檔案

2008-11-04_2048

8.開始抓取

2008-11-04_2049

2008-11-04_2050

2008-11-04_2051

9.火辣辣的密碼相簿內的圖片已經全到手了

2008-11-04_2052

E漏洞防治方法:

1.密碼相簿的圖片盡量不要 拿來當網誌用圖片 或背景

2.密碼相簿使用隱藏

F亂槍打鳥法

假如說相簿中的圖沒有出現在網誌或背景

那也可以依據別本相簿的檔名大量下載

當然大量重複Try的結果 當然就是被封IP

所以這時候就需要使用代理次服器來猜瞜

PS 更強的破解方法有時間再來打 先休息瞜 88

2 Comments:

匿名 said...

請問~~~
你的無名相簿破解寫ㄉ很清楚~~~
但是我想問ㄉ是~~~
如果在網誌和背景都沒有出現ㄉ話~~
有沒有除了亂槍打鳥法之外ㄉ破解法ㄋ???

匿名 said...

天啊~~
自從前幾天你跟我說你的網誌後
這是我第一次真正去看看裡面的內容...
真沒想到你連這種東東都貼出來啦= =''
敗給你了...
這能貼嗎??