V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
kirisetsz
V2EX  ›  分享创造

网易 52G 账户数据精准索引查询工具

  •  1
     
  •   kirisetsz · 2016-04-12 13:09:47 +08:00 · 10300 次点击
    这是一个创建于 3148 天前的主题,其中的信息可能已经有所发展或是发生改变。
    也不是什么大新闻了。

    http://bakatest.github.io/find-my-trousers/

    (为了正确渲染 HTML5 页面浏览器需要支持 FlexBox 布局和 ES5 标准函数)

    52GB 的数据 uniq 一下剩 12GB 再 format 一下剩 9.4GB 最后一遍 uniq 因为懒就不想做了也不知道最后到底有多少数据。丢进索引程序建了个 845MB 的 Bloom Filter 索引,查询性能是 O(1),误正率 0.1%—— 10000 次查询 1 次假阳性。

    输入邮箱和密码,会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了。如果在下没有理解错的话应该是足够安全的方法。精确查询意味着低命中啊,试了自己所有的邮箱密码组合,都没中,稍微有点小失望,所以如果你不幸中了求晒个贴图 XD

    最后,源代码托管在 https://github.com/kirisetsz/52g 欢迎拍砖吐槽~
    34 条回复    2018-03-17 19:19:34 +08:00
    v1024
        1
    v1024  
       2016-04-12 13:17:50 +08:00   ❤️ 7
    ”输入邮箱和密码“

    敢问楼主是在创造新库吗…
    xiaoz
        2
    xiaoz  
       2016-04-12 13:20:05 +08:00
    @v1024 +1 ,估计原本用户密码没有被泄露,通过这个一查,然后过几天泄露了。
    jugelizi
        3
    jugelizi  
       2016-04-12 13:20:39 +08:00
    @v1024 "会用 JavaScript 哈希出对应的索引值,把索引值提交给服务器就能知道些什么了"
    kirisetsz
        4
    kirisetsz  
    OP
       2016-04-12 13:20:54 +08:00
    @v1024 创建一个 (h1, h2, h3, h4, ..., h13) 不知道邮箱和密码的东西能叫库?
    Moker
        5
    Moker  
       2016-04-12 13:31:03 +08:00
    话说查是否蟹肉应该不用密码啊,没密码不影响结果啊
    shinko
        6
    shinko  
       2016-04-12 13:34:38 +08:00
    提供整理后的数据吗
    kirisetsz
        7
    kirisetsz  
    OP
       2016-04-12 13:35:32 +08:00
    @Moker 改过密码的账户不知道泄漏的是改之前的还是改之后的密码,可以做二次查询嘛。
    kirisetsz
        8
    kirisetsz  
    OP
       2016-04-12 13:35:49 +08:00
    @shinko 不提供,但是仓库里有脚本
    iyaozhen
        9
    iyaozhen  
       2016-04-12 13:40:15 +08:00
    found: true 哎,果然中了

    库应该就是 wooyun 那个时间点,因为之后改过密码,改过的密码没有中
    shinko
        10
    shinko  
       2016-04-12 13:56:22 +08:00
    @kirisetsz 看到了,谢谢
    twor2
        11
    twor2  
       2016-04-12 14:01:15 +08:00
    查询了好几个,都没有风险,好失落
    ChenYounG
        12
    ChenYounG  
       2016-04-12 14:12:40 +08:00
    163password 那边查的已被爆,到楼主这边安全了
    wahyd4
        13
    wahyd4  
       2016-04-12 14:19:35 +08:00
    楼主在骗密码吧。
    kirisetsz
        14
    kirisetsz  
    OP
       2016-04-12 14:20:35 +08:00
    @wahyd4 乃们说骗密码的麻烦耐心把帖子看完啦……
    rock_cloud
        15
    rock_cloud  
       2016-04-12 14:27:04 +08:00
    布隆过滤器啊,放心了
    Suclogger
        16
    Suclogger  
       2016-04-12 17:52:54 +08:00
    很漂亮,想法也不错,赞一个
    kaneyuki
        17
    kaneyuki  
       2016-04-12 18:18:17 +08:00
    额?出事之前的密码居然试了也没中。
    能否做一个只检测邮箱的接口呢
    21grams
        18
    21grams  
       2016-04-12 18:19:39 +08:00
    懒得看代码确认是不是像楼主说的那样,所以保险起见还是不试了。
    kirisetsz
        19
    kirisetsz  
    OP
       2016-04-12 18:25:32 +08:00
    @kaneyuki 只检测邮箱的话可以使用 https://163password.download (梯子),现在索引的邮箱是大小写敏感的,刚刚改了一下,正在更新索引+移动到服务器上,还有就是 JavaScript 实现的 hasher 对中文密码支持稍微有点问题,用 Unicode 密码可能是检索不到的,目前已知是这两个问题。

    @21grams 可以试试 [email protected] 密码 0 开个控制台抓个包什么的,如果在 163password.download 没有命中邮箱的话确实没必要再用这个工具确认密码
    newton108
        20
    newton108  
       2016-04-12 18:49:54 +08:00
    从库里复制了几个邮箱查,全查不到。
    crystom
        21
    crystom  
       2016-04-12 19:32:26 +08:00
    @newton108 对,感觉姿势不对啊
    sheiaini
        22
    sheiaini  
       2016-04-12 19:39:17 +08:00
    https://163password.download/
    kirisetsz
        23
    kirisetsz  
    OP
       2016-04-12 20:04:02 +08:00
    @newton108 哎?可能被不小心清洗掉了,求对应的邮箱 /w\
    ifconfig
        24
    ifconfig  
       2016-04-12 21:22:31 +08:00
    楼主 6666 , http://163.donothackme.club 也可以查,唧唧
    daybyday
        25
    daybyday  
       2016-04-12 23:26:28 +08:00
    话说在百度云盘下载的 52G 库
    文件名为: 163mail1.zip, 163mail2.zip ...
    可有谁知道解压密码?
    ifconfig
        26
    ifconfig  
       2016-04-12 23:35:39 +08:00
    @daybyday 试试 baidu
    daybyday
        27
    daybyday  
       2016-04-12 23:36:08 +08:00
    哦,找到了
    daybyday
        28
    daybyday  
       2016-04-12 23:37:13 +08:00
    @ifconfig 刚刚百度上找到了, thx
    Mavious
        29
    Mavious  
       2016-04-13 06:20:50 +08:00 via Android
    @ChenYounG 我也在那边查的,被爆了。
    songkaiape
        30
    songkaiape  
       2016-04-14 09:43:57 +08:00
    @daybyday 能否分享一份给我, 52G 数据库?
    daybyday
        31
    daybyday  
       2016-04-14 10:41:28 +08:00
    5qwang
        32
    5qwang  
       2016-04-15 08:09:04 +08:00
    @daybyday 请问解压密码多少呢?谢谢
    daybyday
        33
    daybyday  
       2016-04-15 12:51:48 +08:00
    @5qwang 都是 baidu
    aoaosheng
        34
    aoaosheng  
       2018-03-17 19:19:34 +08:00
    @daybyday 哥哥,有备份了,想查一下自己的小号
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2126 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 16:13 · PVG 00:13 · LAX 08:13 · JFK 11:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.