Portál AbcLinuxu, 1. května 2025 09:55
Ukážu vám jak získat uplně supr seznam *.gif smajlíků ze stránek mimibazar.cz Uděláme to děsně nenápadně ;D
až mě jako překvapilo kolik na abclinuxu je uživatelů mimibazaru hele takže si myslim že by pro vás to jako mohlo bejt takový zajímavý :D :D
použijeme tyhlety pythoní knihovničky:
takže jako
pip install requests stem fake-useragent
do knihovničky requests budete potřebovat jakoby mit přiinstalovaný tyhlety volitelný doplňky
pip install requests[socks] pip install requests[security]
taky potřebujete mit ve svým systému nainstalovanej Tor. V distrech založenejch na debianu jako je třeba Ubuntu to uděláte příkazem
sudo apt install tor
Služba toru teď ještě jako neběží. Pustíme ji příkazem
sudo service tor start
Vygenerujeme hash hesla pro Tor. Si ho zamapatujte zapište skovejte jinak ho budete jako muset vygenerovat znova 
tor --hash-password TorJeNejvicNejlepsiJako
teď se musí upravit config /etc/tor/torrc abysme mohli tor řídit tou knihovničkou stem. Najděte tam tyhlety řádky a povolte control port a dejte tam taky novej hash toho svýho hesla takže by ten důležitej kousek měl teďko vypadat takle nějak
... ## The port on which Tor will listen for local connections from Tor ## controller applications, as documented in control-spec.txt. ControlPort 9051 ## If you enable the controlport, be sure to enable one of these ## authentication methods, to prevent attackers from accessing it. hashedControlPassword 16:ED4C5C9C21102F4560BC934BA79EFE70478245084211B7868752FC6A71 #CookieAuthentication 1 ...
pokaždý potom co jste něco dělali s tim configem /etc/tor/torrc se musí služba toru restartovat aby si jako ten config znovu načetla
sudo service tor restart
Předem jako řikám že neděláme žádnej hack a přistupujeme k jenom veřejně přístupnejm obrázkům. Jedeme zkrz tor protože by nám naši opravdickou IP mohly zaříznout když budeme jakože vykazovat moc strojovou činnost a házet rychle požadavky za sebou a chováním se nepodobat obyč uživatelce mimibazaru co si třeba jako otevře nějakou stránku a hoďku hoďku a půl nani čučí ;D
A si myslim že je jako možný žeby jsme se dlouho na mimibazar ze svý vlastní IP nepodivali. A taky je lepší když si tor nebo proxy budeme řešit sami u sebe v kompu než abysme jako pak třeba vysvětlovali mamce jak se dostat na mimibazar a proč to najednou jakoby nejede ;D 
samotnej hotovej seznam mam uploadnutej tady 
hele
zdrojáček dole
#!/usr/bin/python3
# -*- coding: utf-8 -*-
import requests
from stem import Signal
from stem.control import Controller
import stem.connection
from fake_useragent import UserAgent
#služba toru nám běží na localhostu takže na ip 127.0.0.1
#9050 je výchozí port toho puštěnýho toru
#tyhlety pythoní datový struktuře se řiká slovník/dictionary
#k elementům slovníku se přistupuje takhle třeba tor_proxy['http'] a daj se tak i měnit
tor_proxy = {
'http': 'socks5://127.0.0.1:9050',
'https': 'socks5://127.0.0.1:9050'
}
#zistíme si naši ip ze stránek ident.me
#tam jako najdete jenom mrňavej řádeček textu s vaši ip adresou
moje_ip=requests.get('https://ident.me').text
#znova si stáhneme textík s naši ip ale teďkonc skrz tu torovou proxy
#přidáme volitelnej argument tor_proxy
proxy_ip=requests.get('https://ident.me', proxies=tor_proxy).text
#mělo by to jet nebo chcípnout s vyjímkou ale rači jako ověříme :D
if proxy_ip == moje_ip:
print("Jejda! Lezem tam skrz svou pravou IP!!!!")
print("Končim!")
#exit uplně ukončí běh našeho skriptíku
exit()
else:
print("Dobrý jako!! Naše proxy ip je {0}".format(proxy_ip))
print("Naše opravdická ip je {0}".format(moje_ip))
print()
#aktualizujeme si seznámek user agentů (stáhne si to novej list)
UserAgent().update()
#hlaviča našeho requestu
#se budeme maskovat jako ten novej internet explorer edge od microsoftu :D :D
# (vivaldi v tom seznamu prohlížečovejch hlaviček neni :D )
headers = { 'User-Agent': UserAgent().edge }
print("naše falešná hlavička: ")
print(headers['User-Agent'])
print()
#funkce co nám dá novou identitu v toru
def new_ip():
# to try except je chytání vyjímek
#tady chytáme jedinej druh vyjímky ato když dáme blbý heslo
#jinak je to nechá prosvištět až nahoru ;D
try:
with Controller.from_port(port = 9051) as control:
#jako volitelnej argumet password dáme heslo použitý v torcc
#sem řikala ať si ho zapišete zapamatjete skováte ;D
control.authenticate(password="TorJeNejvicNejlepsiJako")
#pošleme signál toru aby udělal novou identitu
control.signal(Signal.NEWNYM)
except stem.connection.IncorrectPassword as e:
#když vyplníte blbě heslo a neseděj hashe
print(e)
print("špatné heslo toru. konec zvonec :'(")
exit()
#ještě naši novou ip vypišeme
new_ip=requests.get('https://ident.me', proxies=tor_proxy).text
print("naše nová ip: "+new_ip)
#funkce co zjistí jestli soubor na netu existuje
def url_exists(url,num_attempts=10):
#omezíme počet blbejch pokusů
for i in range(num_attempts):
try:
req=requests.get(url, proxies=tor_proxy,headers=headers)
#kus hlavičky odpovědi ze serveru obsahuje stavovej kód
#hodíme vyjímku když dostaneme klinet nebo server error
#to jsou ty slavný 400 něco a 500 něco
#víc o nich tady https://cs.wikipedia.org/wiki/Stavov%C3%A9_k%C3%B3dy_HTTP
req.raise_for_status()
#je to dobrý je to 100-300 něco
#budem předpokládat že to je jako 200 OK :D
return True
except requests.exceptions.HTTPError as e:
stat_code=req.status_code
if stat_code==403:
print("bad gateway")
#bad gateway jako znamená že tahleta ip má stránky zakázaný
#zkusíme parkrát vyměnit ip jestli to pomuže když ne tak
#si myslim že to znamená že tam maj blokovanej tor jako celek
# a náš skriptík v týhle podobě nebude fungovat :'(
#museli bysme jako zamaskovat tor samotnej třeba za nějakou
#jakože další proxy nebo tak něco
new_ip()
elif stat_code==404:
#soubor neexistuje
return False
else:
#stránka muže i nemusí existovat!!!!
#nás jako hlavně zajímaj ty 403 a 404
return False
print("tor je na stránce asi blokovanej :'(")
exit()
#smajlíky tam mají od 1 po x
#budeme předpokládat že je to bez mezer
#celkovej počet smajlíků:
sum_smajliku=1
#nejdřiv budeme poskakovat po stovkách
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
while url_exists(url):
sum_smajliku+=100
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
print("budu testovat url: "+url)
#když se dostanem sem url neexistuje a musíme sebrat co jsme přidali naposled
#a mužeme rovnou přidat první krok příštího cyklu takže tady -100 +10 = -90
sum_smajliku-=90
#teď po desítkách
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
print("budu testovat url: "+url)
while url_exists(url):
sum_smajliku+=10
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
print("budu testovat url: "+url)
sum_smajliku-=9
#a teď po jedničkách ;D
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
print("budu testovat url: "+url)
while url_exists(url):
sum_smajliku+=1
url="https://i.mimibazar.cz/h/bc/i/"+str(sum_smajliku)+".gif"
print("budu testovat url: "+url)
sum_smajliku-=1
print()
print("počet smajlíků na mimibazaru :"+str(sum_smajliku))
#nakonec si uděláme samotnej seznam smajlíků
#bude to html tabulka sem na blog a smajlíky dáme do src html tagu img
#počet smajlíků na řádek
#chci nejmenšího společnýho dělitele bezezbytku většího než dva aby to
#nebyla až moc tenká nudle
per_row=1
for i in range(2,sum_smajliku):
if(sum_smajliku % i==0):
per_row=i
break
#vygenerujeme si ten seznam jako takovej kousek html s tabulkou co ho tady jde vložit na blogísek
#si jako myslim že tabulečka je tak děsně jednoduchá že ji dáme bez nějaký další
#extra pythoní knihovny ;D
file=open("seznam_smajlíků.txt","w")
file.write("<table border=\"2\">\n")
#když v pythonu3 dělíte integer integerem tak vám to hodí zpátky float proto typecast na int :D :D :D :D
for y in range(0,int(sum_smajliku/per_row)):
#nejde tady dát align center celý tabulce
#nejvejš to de v řádcích tabulky
file.write("<tr style=\"text-align: center;\">\n")
for x in range(1,per_row+1):
url="https://i.mimibazar.cz/h/bc/i/"+str(y*per_row+x)+".gif"
file.write("<td>\n")#buňka tabulky
file.write("<img src=\""+url+"\" />\n")
file.write("<p>")
# <img src /> ještě jako obyč text a ne html
file.write("<img src=\""+url+"\" />\n")
file.write("</p>")
file.write("</td>\n")
file.write("</tr>\n")
file.write("</table>\n")
file.close()
#a teď mě jako napadá že bych jakože zklamala lidi co jako čekali
#že ty smajliky budeme stahovat k sobě do kompu takže je jakože musíme
#stáhnout aby všichni byli spokojený ;D
#jen upozorňuju jako že to skrz tor nestahuje zas tak moc rychle
#upravená funkce url_exists na stahování smajlíků
def get_req(url,num_attempts=10):
for i in range(num_attempts):
try:
req=requests.get(url, proxies=tor_proxy,headers=headers)
req.raise_for_status()
return req
except requests.exceptions.HTTPError as e:
stat_code=req.status_code
if stat_code==403:
print("bad gateway")
new_ip()
else:
return None
print("tor je na stránce asi blokovanej :'(")
exit()
#teď samotný stahování ;D
for i in range(1,sum_smajliku+1): #sum+1 kuli poslednímu
print("Bude se stahovat smajlik {0}".format(i))
url="https://i.mimibazar.cz/h/bc/i/"+str(i)+".gif"
req=get_req(url)
if req is None:
#smajlik nejde stáhnout
print("nejde :'(")
continue
filename="mimibazar_"+str(i)+".gif"
#budeme soubor zapisovat s 'b' jakože binárně
file=open(filename,"wb")
#a zapišeme do něj všecky databloky z požadavku
for block in req:
file.write(block)
file.close()
print()
print("Hotovo!!!!!!!!!")
Tiskni
Sdílej:
wget -nc -U "Gretobot" https://i.mimibazar.cz/h/bc/i/{0..222}.gif
a asi za tři sekundy jsem je měl všechny na disku.
23.12.2019 17:19
xkucf03 | skóre: 49
| blog: xkucf03
Takže teď Grétě a její mamce zablokují Mimibazar. To od tebe není hezké, zvlášť takhle na Vánoce.
23.12.2019 19:58
Gréta | skóre: 37
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
si jako myslim že spíš u radovana budou na poslední chvíli hledat v knihovničce rettigovou až jim jakože nepoběží mimibazar ;D
23.12.2019 18:17
MMMMMMMMM | skóre: 44
| blog: unstable
| Valašsko :-)
23.12.2019 19:52
Gréta | skóre: 37
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
nóóóóóóóóó kdyžuž tak aspoň s ponožkama ;D
apt install torsocks
torsocks wget -nc -U "Gretobot" https://i.mimibazar.cz/h/bc/i/{0..222}.gif
se ti to piše 222 když sem ti jakože prozradila že jich je 162 nebo kolik že to. navíc pošleš víc requestů než můj supr skriptík ;D si taky přectav jako nepravděpodobnou ale né nemožnou eventualitu žeby se mimibazar rozhod bránit a najednou by ti v půlce zablokoval ip. co teď jako?? dát si wget do cyklu kontrolovat jestli to stáhlo soubor hlídat kód 403 a měnit identitu toru a hnedka budeš mit ošklivější lepeninu než já :D :D
ale jako hlavně tenheleten muj blogísek byl jako o uplně něčem jiným ;D
toto je ozajstný darček od Santu (Deda Mráza):
"Muž s bielou bradou vylúpil banku v americkom štáte Colorado, no s ukradnutými peniazmi neutiekol, ale začal ich rozhadzovať a na okoloidúcich kričal "Veselé Vianoce"
Ahoj chtěl sem ti dát dárek Gréto. Co na to říkáš?
text="Veselé vánoce!"
font="URW-Chancery-L-Medium-Italic"
size=90
convert -fill white -background none -font "$font" -gravity center \
-pointsize "$size" -stroke white -strokewidth 4 label:"$text" \
-channel RGBA -blur 0x1 -trim +repage glitter_mask_trans.gif
size=`convert glitter_mask_trans.gif -format "%wx%h" info:`
test -f glitter_blue.gif || wget http://www.imagemagick.org/Usage/anim_mods/glitter_blue.gif
convert glitter_blue.gif -virtual-pixel tile \
-set option:distort:viewport $size -distort SRT 0 \
null: glitter_mask_trans.gif -matte \
-compose DstIn -layers composite Happy_xmass!.gif
test -f 133.gif || wget -nc -U "Gretobot" http://i.mimibazar.cz/h/bc/i/133.gif
convert \( Happy_xmass\!.gif -set page %[w]x%[fx:h*1.5]+0+0 -coalesce \) \
null: 133.gif -gravity south -layers composite Happy_xmass!.gif
Dočasné soubory si smaž sama!
23.12.2019 23:59
Gréta | skóre: 37
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
to je nejvíc nejlepší :D :D :D :D
díkec :D :D
24.12.2019 01:42
Jendа | skóre: 78
| blog: Jenda
| JO70FB
24.12.2019 11:30
Gréta | skóre: 37
| blog: Grétin blogísek
| 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
to teda nene!!!! :D :D
24.12.2019 14:45
otasomil | skóre: 39
| blog: puppylinux
24.12.2019 15:39
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Misto aby server vratil 404 tak da nejakou "podobnou" stranku.Je to podle toho čísla na konci.
Izolace od zbytku sveta nepomuze, kod donese zamestnanec na flashdisku.I tak by zaměstnanec neměl mít možnost položit celou nemocnici/několik dolů, protože mu může hrábnout, i superbezpečný systém může nějak nakazit atd. Jak jsem psal na Rootu:
to nesmí mít takovýto dopad na celou síť -- maximální dopad může být rozbití toho jednoho počítače (což se opraví za pět minut přehráním nového systému z image) a zašifrování/smazání dat na síťovém disku, ke kterým má daný uživatel přístup pro zápis (což se opraví za dalších pět minut obnovením poslední zálohy, a nejhorší dopad je, že se přijde o několik hodin práce (čas od poslední pravidelné zálohy), nikoli znefunkčnění celé nemocnice)
Hromadna administrace win zajisti uspesnou instalaci do vsech pc.Ano, tohle je strašný fail. Na druhou stranu znám spoustu linuxáků, co při adminování používají SSH agenta (pro rejpaly: bez potvrzování každého podpisu) - což je velmi podobně rizikové, akorát na to ještě nikdo nenapsal červa. Jestli se dají Windows adminovat i bezpečně nevím, ale minimálně mi přijde, že na rozdíl od Linuxu ten systém dost hází klacky pod nohy v tom, že není na první pohled jasně zřejmé, co má kam přístup. Plus tam jsou různé obfuskace, nekonečné průsery typu pass the hash atd.
Ano, tohle je strašný fail. Na druhou stranu znám spoustu linuxáků, co při adminování používají SSH agenta (pro rejpaly: bez potvrzování každého podpisu) - což je velmi podobně rizikové, akorát na to ještě nikdo nenapsal červa. Jestli se dají Windows adminovat i bezpečně nevímNejčastější bad-practice je běžná práce admina pod účtem s Domain Admin právy. Díky standardizaci Active Directory je pak pro jakýkoliv škodlivý kód velmi jednoduché si vylistovat všechny servery a workstationy v doméně a na všechny vzdáleně proniknout, protože dokonale fungující SSO v rámci AD... Tj. je to stejné jako práce Linux admina pod účtem s SSH agentem s načteným klíčem platným pro roota na všechny stroje v síti. A to je taky dost často k vidění. Když pomineme remote exploity, a často se vyskytující stroje několik let neaktualizované, tak platí přesně to, co píšeš. Už jsem to zažil - musely se vrátit noční snapshoty všech adresářů, které měl daný uživatel R/W dostupné přes síť, a reinstalovat jeho workstation. Otázka je, zda ty případy z poslední doby využily nějaký ten remote exploit, nebo byl malware spuštěn někde s Domain Admin právy. Např. ohledně reálné exploitovatelnosti SMBv1 na aktuálních Win7/10 je dost nejasno, Microsoft jen silně upozorňuje "nezapínejte to, nezapínejte to, nezapínejte to". Ale ve spoustě velkých síti to kvůli různým legacy systémům zapnuté je.
24.12.2019 18:27
Petr Fiedler | skóre: 35
| blog: Poradna
| Brno
Tj. je to stejné jako práce Linux admina pod účtem s SSH agentem s načteným klíčem platným pro roota na všechny stroje v síti.
Ideálně by to tedy mělo být jak, prosím?
24.12.2019 19:36
Petr Fiedler | skóre: 35
| blog: Poradna
| Brno
Děkuji
26.12.2019 00:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Akorát že se bavíme o situaci, kdy je na systému s takovým ssh-agentem nějaký malware, který má ambici se rozšířit dále.Jenom pro vyjasnění (vím, že tobě je to asi jasné, ale pro ostatní): došlo k mírnému posunu tématu, já jsem mluvil o situaci, kdy se admin naSSHčkuje ze svého desktopu na napadený stroj, vezme si s sebou agenta, a ten malware se díky tomu rozšíří na všechny další stroje, kde má ten admin klíč.
24.12.2019 18:21
otasomil | skóre: 39
| blog: puppylinux
což se opraví za pět minut přehráním nového systému z image) a zašifrování/smazání dat na síťovém disku, ke kterým má daný uživatel přístup pro zápis (což se opraví za dalších pět minutS tema 5 minutama bych to neprehanel. To platilo v dobe win xp ktery mely cca 1 GB navic systemovy image se prakticky nikde nedela protoze je to zbytecny ulozny misto na data ktery jsou vetsinou totozny a kdyby to meli tak uz maj davno obnoveno a o nejakym "utoku" se ani nedozvime. Proste v realu systemovy image nikde nedelaji a uz vubec ne pravidelne a aktualni, uzivatelska data by mela byt na serverech a to ze je lidi maj na plose je jejich blbost potazmo zamestnavatele ktery mel uzivatele radne proskolit. O softwaru k nejakymu spesl pristroji za desitky milionu ktery pak prijede servis nainstalovat za stovky tisic se radeji ani nezminuji kdyz vime ze image celyho os vcetne aplikaci muze byt ulozen a aktualizovan za naklady radove stokorun rocne.
Je to nejaka featura ci prasarna?Obyčejné SEO.
24.12.2019 17:03
xkucf03 | skóre: 49
| blog: xkucf03
Vůči SEO je to víceméně ortogonální. I když klíčová slova v URL pro SEO nějakou váhu mají (asi, ještě?), neznamená to, že by je šlo libovolně přepisovat a URL vedlo pořád na tu samou stránku. K tomu je tam právě potřeba to číselné ID, které je v tomhle případě až na konci, a podle kterého se reálně hledá článek v databázi serveru. Ta slova před ním jsou tam jen pro ozdobu.
Ve skutečnosti by to bylo spíš anti-SEO, protože pak by stejný obsah byl dostupný na více URL, za což by tě vyhledávače spíš potrestaly než odměnily. Proto se tam dává
<link rel="canonical" href="https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/okd-prerusila-tezbu-ve-vsech-dolech-zautocili-na-ni-hackeri-40308064"/>
kde je odkaz na základní URL, které by si vyhledávače měly zapamatovat (i když budeš odkazovat na nějaké alternativní). Na svém blogu to mám podobně + tam navíc přepisuji URL na to kanonické pomocí JavaScriptu (tzn. i když ti někdo pošle pozměněné URL, měl bys mít nakonec v adresním řádku správnou adresu, aniž by bylo potřeba dělat přesměrování a nový HTTP požadavek).
24.12.2019 18:25
otasomil | skóre: 39
| blog: puppylinux
https://www.novinky.cz/internet-a-pc/bezpecnost/clanek/40308064
https://www.novinky.cz/clanek/40308064
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
