[Vkontakte] Просмотр скрытых фоток, профилей и пр

[Winux]

Ужа давно по сети ходит статья, но она к сожалению не актуальна

Решил заняться исследованиями "А что было предпринято".
Фотографии по-прежнему как рисунки доступны любому желающему, но нужно как минимум знать их адрес.

Как и раньше картинки располагаются в папках. Первая папка- u+номер аккаунта. Вторая - номер альбома. Далее идет сама картинка. Как и раньше эскиз от самой картинки отличается символами m_ и x_. Далее идет видимо произвольный код.
Кому лень читать статью-скажу что раньше произвольный код был одинаковым и для эскиза и для фотки. Теперь нет. Старые фотки до сих пор можно посмотреть, а вот новье-уже никак.

Варианты решения проблемы:
- существует алгоритм расшифровки (??)
- существует БД в которую все заноситя-тогда пиздец (это врядли-бд по идее будет сильно грузить сервер а ресурс жирный)
- возможен брут. 8 символов-все маленькие латинские буквы или цифры-итого это 36-чная система. Муторно, неоправдано, но можно. Кстати натравить можно на весь альбом сразу и слить все что есть.


Информация для размышления....
Вложения
______.txt

 

[Noctambulaar]

Варианты решения проблемы:
- существует алгоритм расшифровки (??)
- существует БД в которую все заноситя-тогда пиздец (это врядли-бд по идее будет сильно грузить сервер а ресурс жирный)
- возможен брут. 8 символов-все маленькие латинские буквы или цифры-итого это 36-чная система. Муторно, неоправдано, но можно. Кстати натравить можно на весь альбом сразу и слить все что есть.

Я даже не знаю, что тут обсудить можно. Баги прикрыли.

Я думаю, что

этого не может быть.

 

[Winux]

Noctambulaar
Ты видимо не понял. Прикрыли основной баг: одинаковый шифр эскиза и самой фотки. Саму фотку посмотреть можно полюбак без проблем. Просто надо знать ее адрес. Там знач либо шифр либо база. Если это не так или бесполезно-значит брут. Он то точно сработает. Имеется ввиду брут имен файлов.

 

[jet92]

почему не актуальны ?

как ты сомтришь на вариант такой.

ранее были сайты работающие через гугль, показывающие список катологов в нужном ресурсе.

может попробовать жахнуть так ?

а потом ручками подобрать, название пикчи ?

 

[Winux]

Да блин каталоги то известны. Скажем так: я знаю конкретный альбом и пользователя. Это вообще не проблема. Надо тока название пикчи, но там набор символов абсолютно произвольный и руками не подобрать. Вот мне интересно, как сервер определяет связь между эскизом и самим рисунком? По базе смотрит или просматривает все файлы в архиве и подбирает по алгоритму к эскизу рисунок.

 

[Noctambulaar]

http://vkontakte.ru/photos.php?act=show&id=10430975_115981605

10430975 = Добавлена 22 августа 2008
115981605 = id фото за это число.

Фкурил насчет папки, видимо только брутом. m_ и x_ два разных файла.

 

[Winux]

Взял имена произвольных пар эскиз-картинка (доступных) Перевел в ASCII. Никакой закономерности на глаз нет. Конечно мб и сложное шифрование которое нам никогда не угадать. Вот примеры:

53 102 50 57 99 50 102 102
101 101 54 56 48 98 100 56

102 57 56 50 51 98 99 97
51 98 102 55 54 49 57 52

100 99 49 54 50 101 51 55
55 55 97 98 53 57 51 54

МБ существует софт который перебирает всякие варианты и ищет закономерности?

 

[Winux]

Кстати при бруте, если таковой будет, можно исключить такие варианты как "все буквы" и "все цифры". Такого видимо просто нету, исходя из опыта. Хоть одна цифра да есть.

 

[Noctambulaar]

Я склоняюсь к тому, что там рандом. Брут - бред, легче тогда акк брутить. Или в контакт пролезть.

 

[Winux]

Я склоняюсь к тому, что там рандом

Брут - бред, легче тогда акк брутить

Или в контакт пролезть.

даже если. Но есть папка, в которой все лежит (и эскизы и картинки). Как сервер сопоставляет одно с другим? Либо база либо алгоритм выходит.


Не скажи. Акк брутить-таже ситтуация. даже 6-символьный пароль может быть вместе с большимы латинскими буквами. А если 7 символов? Или 3? Тут однозначно 8 и четко определен набор символов. Никаких спецсимволов и больших букв.
Кроме того для брута акка надо знать e-mail, а это еще одна задача.


Не всегда актуально. Иногда просто нереал.

 

[Winux]

Занятная математика.
Если я все правильно расчитал, то всего вариантов имени картинки вот столько:
2821109907456

Если исключить варианты все буквы и все цифры это соответственно 208827064576 и 100000000, остается такое колличество комбинаций: 2612182842880.
Если взять 10 вариантов в секунду, то на их перебор уйдет 8283 лет. А жаль.

 

[jet92]

Учитель алгебры будет тобой гордиться!1111

Выходи остался только вариант поиска закономерности в шифровании названия ?

 

[jet92]

VK | VK

vkontakte.ru

Erreur | VK

vkontakte.ru

Erreur | VK

vkontakte.ru

14762041
разница в 2.8 десятых раз.
41268665

14762041_115704250


хм.....

Erreur | VK

vkontakte.ru

стандарт на пикчу.

http://vkontakte.ru/photos.php?act=show&id=' 14762041_115704250

После того как ставим пробел и верхний опостроф, ссылка на фото меняется, и отображается совсем другая фото.

здесь не все так просто.

нужны крипторы хорошие.

 

[Winux]

После того как ставим пробел и верхний опостроф, ссылка на фото меняется, и отображается совсем другая фото.

ЮзерИД меняется просто.

 

[jet92]

ЮзерИД меняется просто.

естественно он меняется, но ты например встречал ид с опострофом ?

я нет.

они все состоят из цыфорок.

думаю имеет смысл пригласить кого нибудь кто был бы силен в криптографии.

 

[Winux]

этот символ просто путает скрипт и все.

Кстати забавно

http://vkontakte.ru/photos.php?act=show&id=' 14762041_115704250
Отправитель http://vkontakte.ru/id2881300
просмотр профиля закрыт, а фотку видать.
Кажется есть куда действовать.
Добавлено в [time]1220103015[/time]
И еще прикол:

Erreur | VK

vkontakte.ru

Все равно что будет первым числом. Видимо фотке этой так повезло. А вот второе число варирует, но некоторые фотки запрещены настройками приватности.

 

[ViP-K1LLeR]

del

 

[Roland]

Занятная математика.
Если я все правильно расчитал, то всего вариантов имени картинки вот столько:
2821109907456

Если исключить варианты все буквы и все цифры это соответственно 208827064576 и 100000000, остается такое колличество комбинаций: 2612182842880.
Если взять 10 вариантов в секунду, то на их перебор уйдет 8283 лет. А жаль.

Winux

хм.. но тут кажется используются не все символы, а только 0-9 и a, b, c, d, e и f, что наталкивает на мысль, что возможно что имена картинок - всего лишь числа в hex-системе.
таким образом число возможных комбинаций сокращается до... 4294967296. Теперь брут выглядит немного привлекательней). Я не очень разбираюсь в технологии HTTP протокола, но неужели с каналом в несколько мегабит(допустим) будет возможно осуществлять всего 10 запросов в секунду?

 

[alnemoy]

@Roland
попробуй отправить хотя бы 10 сообщений разным людям, которые не в твоем контакт-листе. поймешь очень быстро. я помню хотел заабузить статы "время проведенное на форуме" (не скажу каком). оставил оперу на ночь с обновлением страницы раз в 2 минуты. на след. день бан за... ДДОС ) поговорил с одменами, починили меня

[mod][groundhog:] В жизни такой бредятины не читал![/mod]
[mod][Одинокий Волк:] Зимние каникулы уже начались? 0о[/mod]

 

[TeenagerHacker]

Відкриваєте список музики в контакті та в адресний рядок копіюєте цей скрипт і тиснете ентер - після цього натискання кнопки плей видає пряму ссилку на пісню.

javascript:function operate(konfuze,loves,you,all_,xP){you=you.toString(10);while(you.length<5){you='0'+you;}document.getElementById('audio'+konfuze).innerHTML='<div><a href="http://cs'+loves+'.vkontakte.'+'ru/u'+you+'/audio/'+all_+'.mp3">'+document.getElementById('performer'+konfuze).innerHTML+' - '+document.getElementById('title'+konfuze).innerHTML+'</a></div>
';}