电脑小白: 2015

Tuesday 8 December 2015

面子书 - 如何慢火蒸出 page admin

今天我们来玩找 page admin 游戏。

首先，让我们锁定某个粉丝专页当目标，比如拿我的专页来做 example la:

然后没有 Page Owners section 来看谁是 admin。

锁定目标后，现在是时候准备一些假 account，要弄到可爱一点比较容易骗人。

第一张图片看到是 8 个人 like。所以就用 Graph Search 看谁 like。

其实有六个人 like，一个人 hide 掉 search，另外两个是 unlike 没有 up to date (为了效率，Search API 通常都是 cache 的 lor)。

for 第一页，就在 Search likers 那页 save html 在 1st_page.html，然后丢在 manual.py 来解析出 user ids，并储存在 userids。

跑 manual.py:

for 其它页面，就 scroll, 然后 Copy as cURL:

paste 在 eason1.py 的 cmd, double quotes 它，把 display_params 开头的 %22 之间的 cursor 拉出来当 global variable。加 -m 10 来 timeout，如果不要看 command 就加 -s。图中暂时 disable cmd 还有 cursor（有 cursor 方便停下来，下次继续）。至于为什么刚才要分出来第一页，因为我很懒去写包括第一页的 code。下面是被浓缩的 eason1.py 例子：

然后给它跑，（这只是其它专页的例子，因为我那个专页没有下一页做示范）:

收集完 userids 后，我们进行下一步，拿 block session。

你可以先打开 inspect element，然后 block 名人来拿当前 cookie 还有其它 HTTP request 需要用到的东西。

右键 Copy as cURL:

把 userids mv 去 userids1 ，然后用修改上面的 curl 的 --data double quotes uid=$uid，放在 while block 完全部 id。不贪心， timeout 给它 -m 0.5 就可以了，足够让你以一小时 block 八千个人, 24 小时 block 192000 人。华人不多(如果目标是 taiwan 专页，没事 block 什么墨西哥人 connections)，所以收集到 page admin 并非天方夜谭的事。收集越多，成功率就越高。

例子, stderr 也算成功，不需要等 full reply，酱就能加快速度:

随便找几个很旧的 post, 让 admin 除了 notification/settings 之外，正常没有常去的地方。比如这次的目标是 2011 年 3 月 9 号， 人烟稀少的地方。

然后 admin 看见 notification，可能就会 reply。如果是 "block me if you can" 或暴力诸如此类的 comment，就可能会去 hide/delete 或甚至 ban 掉 Eason。

酱我们现在就可以知道其中一个 page admin 不是刚才被 block 的人，所以才收到 notification，也才能在大约三分钟内看到留言并进行 reply/hide/delete/ban。(hide 可以用其它假 account 来观察到)。

然后继续收集其它 userids, 比如专页所有的 post/comment/like 的 userids, 如下图，收集到我的 userid:

等半个小时(防止他还停留在这页 [可以同时 test 其它人烟稀少的 post, 就可忽略这个问题])，再留言过，结果等了十年(五或十分钟内不 reply 立刻删除，准备下一批切一半的 block 的 user ids)都没 reply:
*(不好意思，图片的时间和我讲的时间有出入)

原因在于这次 admin(林果皞) 收不到 notification，跟没被 block 之前完全相反，甭管 Use Page as page admin 还是 林果皞 都不会收到 notification:

然后再试验没 block 林果皞之前的 user 来 comment 其它 post，如果那个 post 很快有 reply，独留那个 post 没 reply，反复测试，酱就达到我们要的 reliability。

这时候距离成功只是时间上的问题了， either 我开多新的 account 从 userids1 block 一半 user ids，或直接拿我现在的 unblock 一半 user ids。然后慢慢缩小成一个人(page admin 可能几个人，所以也可同时缩成几个)就知道谁是 page admin(s) 了。

最后只剩下林果皞被 block，终于找到林果皞是这个 page 的 admin。来开香槟 :)

如果是上百万的粉丝专页就不值得 (花五天时间 block)，毕竟如果假 account 被 facebook permanent ban 就亏了之前花时间去 block(暴力 comment 比慢火蒸有效，但如果被 facebook 系统 permanent block 就很花时间去 block 剩下的一半，没被 ban就可以 reuse 假 account 攻击其它 page 节省时间。)。取决于你的规模lor，比如说有组织的几个人收集 user ids。反正 facebook 不去 fix 这个 bug，你要收集一年也没关系。

如果你有可疑的几个 user id 名单，攻击就轻而易举了。

还有一些问题要注意：
1. admin 可能没 online, 所以反复测试确保 reliability 很重要。你可能可以 message, 或用 listener 看有没有新的 post。有就代表 admin 睡醒了，也是时候开工攻击了。

2. 上面教的人烟稀少的 post 可能找不到没有 likers/commenters， which 他们会收到 notification 来 report kacau，所以最好是 block 掉他们。

跟 Graph Search likers 一样，用 cursor 就可以收集那些 likers user ids 来 block。

如何 Defense:
如果看到 notification 在旧的 post，不要立刻 like/reply/hide/delete/ban。偶尔等半小时，或等两小时，或一天，总之不要让 stalker 揣摩到你看 notification 的时间即可。

为什么我没有 report 给 facebook ?
我有 report，不过这个把 timing 当漏洞已经远远超过 facebook 安全团队的想象力，解释了两遍他们还是 get 不到这个漏洞其中一个关键的地方是人烟稀少的 post + timing。我偶尔会在 stackexchange 活跃，也有 report 的经验，report 文笔并不差 a。

他们给我的第二个回复竟然是可笑的 "the page admin still be able to see the content and remove it"，这不是对牛弹琴是什么 ? 我解释第三遍也是多余。

[The story doesn't end yet]
事实上这个用 timing 找 page admin 的逻辑可以实现在其它地方，可以说在某个情况下是 unfixable 的，不过我忘了那个情景 (我过马路时灵光一闪想到的)，都半年前的事了。

Sunday 11 October 2015

知乎 - DIY 问题重定向

今天我们来玩重定向游戏～

先 logout 知乎网页。然后浏览 http://www.zhihu.com/question/20381025。

就会看见 5 秒后将会跳转信息:

五秒过后, 跳去 www.zhihu.com/question/19694728?rf=20381025:

五秒过后，又再跳去 www.zhihu.com/question/22447061?rf=19694728:

还没跳完，五秒过后，又再跳去 www.zhihu.com/question/20135771?rf=22447061:

五秒过后，跳去 www.zhihu.com/question/24531839?rf=20135771:

终于跳完 liao~ 是不是很好玩叻。当然你会觉得知乎 desgin 到酱真的是。。。

为什么我要强调 logout ? 因为 login 对知乎的重定向很大影响哦。如果没有 login, 以上所有的重定向都是交给了 js 来处理。如果有 login，第一个重定向交给 302 处理 (所以你看不见第一页，而是直接跳到第二页。

来证明一下，login 知乎后，然后打开 http://www.zhihu.com/question/20381025

留意 URL bar, 是不是很奇怪叻，直接 skip 掉 20381025 跳第二页。哦，我还没讲上述 URL 的结构。

http://www.zhihu.com/question/问题_ID?rf=上一个重定向问题_ID

就这样， rf 猜到就是 referer 的简称。

不止这个特别，还会出现从什么问题跳转过来的信息。这就是 login 的特别之处。不但 skip 掉第一个 302, 而且会留意从哪里来。

那么如果想看回重定向之前的那页怎么办？只要来得及按 "从问题 xxxxx 跳转而来" 就能看回之前那页，并且不再重定向。这种设计，用户怎么可能懂呢 ?

login 的影响 inconsistent 的 behavior 还没完。"从问题 xxxxx 跳转而来" 本身就是 URL 加上 nr=1, 即是 no-redirect 的简称。如果你没有 login, 你看不见 "从问题 xxxxx 跳转而来" 这行字也就算了，可是如果你手动把 URL 加上 nr=1, 比如 www.zhihu.com/question/20381025?nr=1:

还是会再跳的哦，也就是说 login 不仅仅影响 302+js 重定向以及 block 掉 rf 信息，而且也不允许 nr 的功能。

当然我是能想到 302+js 的初衷。302 省一次重定向，然后又不想用户完全不懂第一页的题目，所以只 302 静悄悄重定向一次，接下来就用 "从问题 xxxxx 跳转而来" + js 方法重定向下一页。至于为什么要 login only 就感觉像 bug 多一点。

你可能看不懂我讲什么鬼，简单一句，如果是 http://www.zhihu.com/question/问题_ID?rf=上一个重定向问题_ID 链接就加上 &nr=1，改成
http://www.zhihu.com/question/问题_ID?rf=上一个重定向问题_ID&nr=1 ，如果是 http://www.zhihu.com/question/问题_ID 链接就改成 http://www.zhihu.com/question/问题_ID?nr=1, 并且在 login 的情况下，链接是不会自动重定向的哦。

接下来让我们 DIY 两种重定向规则。

先准备 google chrome 浏览器。目标是自制 chrome extension。

准备两个 file, hello_inject.js 以及 manifest.json 放在同一个 directory/folder:

hello_inject.js 源码:

chrome.webRequest.onBeforeRequest.addListener(
        function(details) {
                if (details.url && /^https?:\/\/www.zhihu.com\/question\/\d+/i.test(details.url)) {
                        var url = details.url;
                        var paramName = "nr";
                        var paramValue = "1";

                        var splitAtAnchor = url.split('#');
                        url = splitAtAnchor[0];
                        var anchor = typeof splitAtAnchor[1] === 'undefined' ? '' : '#' + splitAtAnchor[1];
                        if (url.indexOf(paramName + "=") >= 0) {
                                var prefix = url.substring(0, url.indexOf(paramName));
                                var suffix = url.substring(url.indexOf(paramName));
                                suffix = suffix.substring(suffix.indexOf("=") + 1);
                                suffix = (suffix.indexOf("&") >= 0) ? suffix.substring(suffix.indexOf("&")) : "";
                                url = prefix + paramName + "=" + paramValue + suffix;
                        }
                        else {
                                if (url.indexOf("?") < 0)
                                        url += "?" + paramName + "=" + paramValue;
                                else
                                        url += "&" + paramName + "=" + paramValue;
                        }
 
                        console.log("injected url: " + url + anchor);
                        return {redirectUrl: url + anchor};
                }
        },
        {urls: ["<all_urls>"]},
        ["blocking"]);

manifest.json 源码：

{
  "name": "URL Injector",
  "version": "1.0",
  "description": "Injet url.",
  "background": {
    "scripts": ["hello_inject.js"]
     },
   "manifest_version": 2,
   "permissions": [ "contextMenus", "storage", "webRequest", "webRequestBlocking", "tabs", "http://*/*", "https://*/*" ]
}

然后去 chrome://extensions, 右手边打勾 Developer mode，然后按 Load unpacked extension...:

选你刚才那个 directory/folder, 按 Open:

源码有 console.log 函数, 所以要看 log 就按 background page 打开 debug 窗口，然后选 Console Tab:

yeah, inject nr=1 成功 :)。现在每一跳问题都会自动加上 nr=1 不再跳转。当然，必须 login 哟。

如果你不要 print log 就前面加上 // 来 comment out console.log,
//console.log("redirect url: " + url + anchor);

如果更改储存 hello_inject.js 源码文件后，必须在 chrome://extensions/ 页面， Ctrl+r 更新 take effect。

另一种玩法是选择直接强迫它 302 redirect。原理就是依赖 login + 把 rf 丢掉。因前面研究过，我们已经懂第一页是 302，特征就是第一页没有 rf 然后接下来有 rf。

hello_inject.js 源码:

chrome.webRequest.onBeforeRequest.addListener(
        function(details) {
                if (details.url && /^https?:\/\/www.zhihu.com\/question\//i.test(details.url)) {
                        var url = details.url;
                        var base = url.substring(0, url.indexOf("?"));
                        var queryString = url.substring(url.indexOf("?") + 1);
                        var params = queryString.split("&");
                        var valid_param = 0;
                        var invalid_param = 0;
                        for (var i = 0; i < params.length; i++) {
                                var p = params[i].split("=");
                                if ((params[i] !== p[0]) && ( p[0] == "rf" )) {
                                        invalid_param+=1;
                                } else {
                                        if (valid_param !== 0) {
                                                base+=params[i];
                                                valid_param+=1;
                                        } else {
                                                base = base + "?" + params[i];
                                        }
                                }
                        }
                        if (invalid_param !== 0) {
                                console.log("redirect base: " + base);
                                return {redirectUrl: base};
                        }
                }
        },
        {urls: ["<all_urls>"]},
        ["blocking"]);

Ctrl+r 更新 extension, login 情况下浏览 http://www.zhihu.com/question/20381025 就会直接 skip 到最后一页 24531839:

如果 Inspect element 检测, 就能看到 302 -> 307(Internal Redirect) -> 302 -> 307 -> 302 -> 307 -> 302 -> 307 skip 到最后一页 200 OK。省下中间的 download。

Saturday 3 October 2015

pdf - 如何丢掉图片

声明：看过我的 blog 的人应该懂我几乎都不写这种教你下载看不到 source 或非官方的 exe，我写这篇文章主要是急救个朋友吧了，那个 exe 是不是恶意的我可不负责。

选择 1: 下载安装开源的 libreoffice。缺点是字体有些会走位。

选择 2: 下载安装 Acrobat Pro XI 付费才能用的 edit pdf 功能。本人参考这个教学后，整理出比较小白的步骤。

步骤:

1. 这里下载注册器。点击 Click to Download Content 即可。

2. 下载后，先不要管它。等下才打开 xf-aarpxi。

3. 去这里下载 Acrobat XI Pro。选 File 1 of 1 即可。

4. 浏览 C:\Windows\System32, 找 cmd 这个文件。

5. 滑鼠对着 cmd，右键选 Run as administrator。

6. [cmd] 输入 cd drivers\etc ，按 Enter 键。再输入 notepad hosts , 按 Enter 键。

7. [notepad] 把下面的内容 copy-paste 去刚才那个 notepad 的最下面。

127.0.0.1 activate.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com

8. [notepad] Save 起来。然后可以关掉 notepad 和 cmd 了。

9. 如果你是用 wifi 就关掉你的 wifi 。如果是用 network cable 就拔掉 cable。

10.. 双击之前 unrar 的 xf-aarpxi 打开 [注册器] standby。

11. 双击之前下载的 AcrobatPro_11_Web_WWMUI 打开 [acrobat]。点选 Overwrite。按 Next。

12. [acrobat] Preparing files...Extracting，等它跑完。

13. [acrobat] Files Are Ready。已经勾上 Launch Adobe Acrobat XI。按 Finish。

14. 如果出现 [UAC dialog] ，按 Yes 允许 program 更改。

15. [Setup] English (United States) -> 按 OK。稍等。

16. [Setup] InstallShield----, 按 Next。

17. [Setup] 打勾 Make Adobe Acrobat my default PDF viewer。按 Next。

18. [Setup] User Name 填上 email 。点选 "I have a serial number"。

19. [注册器] 去注册器按 "Generate" 左下角的按钮。Serial 栏出现长长的 code。右键 higlight copy 那个 code。

20. [Setup] paste 那个 code 进去 Serial Number: 栏。按 Next。

21. [Setup] Notcie: Adobe License Activation。按 Next。

22. [Setup] Typical/Complete/Custom。多好过少，点选 Complete。按 Next。

23. [Setup] Destination Folder。按 Next。

24. [Setup] Ready to Install the Program。按 Install。

25. [Setup] Status: Copying new files/Patching files/...。等它跑完。

26. [Setup] Setup Completed. 按 Finish。

27. 在 desktop 双击安装好的 Adobe Acrobat XI Pro shotcut。

28. [Acrobat XI Pro] Adobe Software License Agreement。按 Accept。

29. [Acrobat XI Pro] Serial Number Validation。请按 "Having trouble connecting to the internet?" 蓝色字。不要按 Validate。

30. [Acrobat XI Pro] No Internet Connection。按 "Offline Activation"。