V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
asuka321
V2EX  ›  程序员

发现微博图片可以链接找到发图的人

  asuka321 · 2017-09-04 20:36:34 +08:00 · 77202 次点击
这是一个创建于 2635 天前的主题,其中的信息可能已经有所发展或是发生改变。

例如链接为 http://wx1.sinaimg.cn/mw690/9d0d09abgy1fj0wcs7aewj20ij0sn12y.jpg 的图

提取文件名 9d0d09abgy1fj0wcs7aewj20ij0sn12y,前 8 位 9d0d09ab 用 16 进制转换下变为 2634877355,就是用户 uid

如果是 http://wx1.sinaimg.cn/mw690/006r2HqOgy1fj7dxg3zuxj30p02a1wry.jpg 这种 005 006 开头的就用 62 进制转

为什么出现这个应该是发现 8 位 16 进制存不下了。。。。

267 条回复    2020-03-15 19:27:06 +08:00
1  2  3  
plusect
    201
plusect  
   2017-09-05 12:27:59 +08:00 via Android
62 进制。。。真是可 6
derpc
    202
derpc  
   2017-09-05 12:29:11 +08:00 via iPhone
微信 openid 也研究一波呀老铁
cqhme
    203
cqhme  
   2017-09-05 12:29:58 +08:00 via Android
有种图片隐写

如果微博传图后真有隐藏水印 那么图片元数据里……
会不会有很多的信息?

虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的

假如能定位至具体哪条微博…… 原微博已删除就返回个 已删除提示……
nameldk
    204
nameldk  
   2017-09-05 12:30:53 +08:00
为毛我感觉这像是内部人员泄露出来的
cqhme
    205
cqhme  
   2017-09-05 12:31:02 +08:00 via Android
有种图片隐写

如果微博传图后真有隐藏水印 那么图片元数据里……
会不会有很多的信息?

虽然能找到博主但是 假如博主微博较多 找具体哪条包括此图还是挺累人的

假如能定位至具体哪条微博……

原微博已删除就返回个 已删除提示……
closers
    206
closers  
   2017-09-05 12:39:58 +08:00
可怕
murmur
    207
murmur  
   2017-09-05 12:42:18 +08:00
@trydie 有关部门会用这个追查你非法言论?发非法言论不会换小号么
billwang
    208
billwang  
   2017-09-05 12:43:12 +08:00
牛了,这个应该是用来追溯用的,所以以后发图……
limhiaoing
    209
limhiaoing  
   2017-09-05 12:46:31 +08:00 via iPhone
碉堡了
cqhme
    210
cqhme  
   2017-09-05 12:56:54 +08:00 via Android
有人欢喜有人忧啊

反过来一想 本来微博的图就是个实名制图床(不说百分百已实名 但也得绝大部分“被实名”了吧)能通过图找到原发图人 好像这个逻辑也对啊 合理合法没毛病
tuibaba
    211
tuibaba  
   2017-09-05 13:00:37 +08:00
厉害了!
jinyang656
    212
jinyang656  
   2017-09-05 13:20:07 +08:00 via Android
gkroot
    213
gkroot  
   2017-09-05 13:21:28 +08:00 via iPhone
@hisway php 代码能否给下😂小白一个
achenme
    214
achenme  
   2017-09-05 13:27:37 +08:00
http://59.110.216.132:8888/?s=
achenme
    215
achenme  
   2017-09-05 13:28:49 +08:00
#214 被转义了 搜索格式:59.110.216.132:8888/?s=图片地址
iFlicker
    216
iFlicker  
   2017-09-05 13:32:43 +08:00
好奇楼主出于什么目的发现的 0.0
hisway
    217
hisway  
   2017-09-05 13:33:26 +08:00
kofj
    218
kofj  
   2017-09-05 13:33:33 +08:00
我也来个 Golang 版本的:
github.com/kofj/imgauthor

移植自 @metowolf 的 js 版本代码
chen2016
    219
chen2016  
   2017-09-05 13:35:41 +08:00
![d9350ac0-d6d0-436a-90a2-15f124a92d3e.png]( https://i.loli.net/2017/09/05/59ae376d97827.png)
wsph123
    220
wsph123  
   2017-09-05 13:41:51 +08:00
@lzhr
@metowolf
这个是单纯的账号状态不对,卧槽有点慌张🤣
wsph123
    221
wsph123  
   2017-09-05 13:43:03 +08:00
@cqhme 你发的微博里面的配图可以是微博上任意的图片,并不局限于自己上传的部分
tryrain
    222
tryrain  
   2017-09-05 14:51:33 +08:00
18 个小时 chrome 插件都搞出来了
Wysten
    223
Wysten  
   2017-09-05 15:00:16 +08:00
来波 PHP 版本的 https://github.com/Wysten-Hgg/Weibo-imgauthor 很 low,仅供参考
shiny
    224
shiny  
   2017-09-05 15:02:38 +08:00
搞了个大新闻,感觉像来自微博的深喉
yohn
    225
yohn  
   2017-09-05 15:08:50 +08:00
双击 666 铜币走一波
idclight
    226
idclight  
   2017-09-05 15:13:42 +08:00
一天不到大佬们连插件都弄出来了_(:з)∠)_
ELLIA
    227
ELLIA  
   2017-09-05 15:13:55 +08:00
@cqhme 好像是往图片里面加了点啥,我测试了下,原图 42K,上传微博图床以后就变成了 60K,不知道加了点什么料……

http://ww2.sinaimg.cn/thumb150/a15b4afegy1fj8pi5m1o9j21bb0i3whl
ELLIA
    228
ELLIA  
   2017-09-05 15:14:19 +08:00
@ELLIA 图片网址弄错了:
ELLIA
    229
ELLIA  
   2017-09-05 15:23:20 +08:00
@lzhr 这个图床貌似也可以给找出来了…
gamexg
    230
gamexg  
   2017-09-05 15:25:46 +08:00
@nameldk #204 非内部人士应该也能分析出来。同一用户的前缀一致,在分析下去就应该能够明白是 16 进制。
但是那个 62 进制好奇葩。
keakon
    231
keakon  
   2017-09-05 15:25:51 +08:00
这样实现应该是为了分库时,可以满足查询某个用户的所有图片,而不需要遍历所有库=。=
Martin9
    232
Martin9  
   2017-09-05 15:27:58 +08:00
微博阑夕转载了
Alex6
    233
Alex6  
   2017-09-05 15:43:26 +08:00
厉害厉害
evagreenworking
    234
evagreenworking  
   2017-09-05 15:48:29 +08:00 via Android
base16 很早就有人发现了 https://www.douban.com/group/topic/87739051/ 不过 base62 能发现确实厉害
byuan04
    235
byuan04  
   2017-09-05 16:09:40 +08:00
6666
AlisaDestiny
    236
AlisaDestiny  
   2017-09-05 16:27:06 +08:00
@metowolf 你网站的摘要居然能看见代码。
https://i.loli.net/2017/09/05/59ae5f8442e86.png
gongpeione
    237
gongpeione  
   2017-09-05 16:38:08 +08:00   ❤️ 3
metowolf
    238
metowolf  
   2017-09-05 16:53:40 +08:00
@AlisaDestiny #236
JS 代码,可能文章内容有点短,就...
elfsundae
    239
elfsundae  
   2017-09-05 17:06:23 +08:00 via iPhone
没玩过微博,不懂大家惊呼什么...

顺路问下这算 bug 吗?我自己网站的图片地址也是关联 uid 的,这样会有哪些问题?
bertonzh
    240
bertonzh  
   2017-09-05 17:13:04 +08:00
厉害了。。
以前看的一些图片用以图搜图怎么都找不到作者,现在方便了
qiayue
    241
qiayue  
   2017-09-05 17:18:19 +08:00
@elfsundae 很多人把微博图片当图床使用,先把图发到微博(当然是设置不打水印),再获取图片地址之后,删掉微博,发图片到其他网站
lzhr
    242
lzhr  
   2017-09-05 17:26:50 +08:00
@elfsundae #239 比如在煎蛋妹子图 匿名开车,这个地址就会暴露微博帐号。不该算 bug,微博用户没有任何影响。
@qiayue #241 一般是用插件吧,不用发微博
elfsundae
    243
elfsundae  
   2017-09-05 17:46:20 +08:00
@lzhr
@qiayue
谢谢。看来对我没啥影响.. 奇怪的是微博都好几年了,竟然没人发现?!大多数程序员都有顺眼研究第三方服务的 URL 吧
elfsundae
    244
elfsundae  
   2017-09-05 17:47:20 +08:00
大多数程序员都有观察第三方服务的 URL 的习惯吧...
banewu
    245
banewu  
   2017-09-05 18:25:18 +08:00
厉害
hqfzone
    246
hqfzone  
   2017-09-05 18:31:52 +08:00
牛!
yujizmq
    247
yujizmq  
   2017-09-05 18:33:29 +08:00 via Android
竟然还有这种操作……还好已经换图床了
zzcflying
    248
zzcflying  
   2017-09-05 18:42:42 +08:00
厉害了
chenshaoju
    249
chenshaoju  
   2017-09-05 19:27:35 +08:00
试一下看看。

YORYOR
    250
YORYOR  
   2017-09-05 20:06:36 +08:00
楼主可以的
YORYOR
    251
YORYOR  
   2017-09-05 20:10:10 +08:00
@keakon 没懂。。能否解释下。。
Hzzone
    252
Hzzone  
   2017-09-05 20:37:18 +08:00
端上铜币
melvin
    253
melvin  
   2017-09-05 20:38:58 +08:00
62 进制怎么发现的
kuxiazi
    254
kuxiazi  
   2017-09-05 20:46:04 +08:00
微博图片在线转微博地址工具
https://toolmao.com/tool/img2weibo/
quietjosen
    255
quietjosen  
   2017-09-05 20:47:04 +08:00
楼主 666 看来还是自己的图床靠谱 😂
Showfom
    256
Showfom  
   2017-09-05 22:13:14 +08:00
@gongpeione 收藏了,嘿嘿,源码可以用么=。=
comzyh
    257
comzyh  
   2017-09-05 22:36:59 +08:00
感谢楼主,之前做微博爬虫就就发现同一个人发的图片前缀相同了,但是没发现是 62 进制。

其实微博的 mid ( http://weibo.com/2619981000/Fks9mBIR7 中的 "Fks9mBIR7")就是 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ 的 base62,早该想到的。
bl5c
    258
bl5c  
   2017-09-05 23:00:24 +08:00
你们这些拿微博当图床的小心开门查水表 2333~~~
restran
    259
restran  
   2017-09-05 23:13:55 +08:00
你好,你也玩 CTF 吗?
Vizogood
    260
Vizogood  
   2017-09-06 09:14:19 +08:00
觉得微博登陆太麻烦没用过微博图床....这 62 进制咋知道的...
AntonChen
    261
AntonChen  
   2017-09-06 11:50:50 +08:00 via iPhone
服,给大佬递女装
keakon
    262
keakon  
   2017-09-06 15:54:33 +08:00
@YORYOR 你对图片分库时,可以按 hash(url_token[:8]) 来分库,因为头 8 个字节是用户的 uid,所以单个用户的所有图片肯定在一个库里。
Yuwen
    263
Yuwen  
   2017-09-06 18:03:40 +08:00
我也写了一个没什么卵用的 Android 版
https://github.com/Omico/WeiboPhotoLinktoPeople
trydie
    264
trydie  
   2017-09-06 22:33:36 +08:00
@murmur 很多小白不经意间引发的争议
gIrl1990
    265
gIrl1990  
   2019-09-20 21:57:32 +08:00
简单看了下 B 站,不是这规则。
myhero
    266
myhero  
   2019-09-23 12:59:08 +08:00
厉害 厉害
lxk11153
    267
lxk11153  
   2020-03-15 19:27:06 +08:00
1  2  3  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5361 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 29ms · UTC 03:36 · PVG 11:36 · LAX 19:36 · JFK 22:36
Developed with CodeLauncher
♥ Do have faith in what you're doing.