近日,有黑客在一个公共网站上发了一篇关于他们已经获取453000个雅虎服务用户凭证的帖子。这个名为D33Ds的黑客组织表示他们通过使用SQL注入技术渗透到雅虎的子域名中,向其内注入数据命令,然后绕过后端服务器。
另外,该黑客组织为了证明他们所说的事情属实,特意在这篇帖子中发布了453492个雅虎账号的文本凭证。
不过遗憾的是,这个行为似乎并没有引起多大的关注。因为在雅虎很多人都同用一个相同的凭证。
TrustedSec上的博文指出这次为黑客剽取的信息很有可能来自于Yahoo Vocie,而这种猜测基于“dbb1.ac.bf1.yhoo.com”这样字符的出现。
D33Ds公司(7月12日)曝光了45万雅虎用户数据。黑客称利用union-based SQL注入漏洞获得了XXX.yahoo.com的用户数据。其中包括453492条用户数据记录,超过2700个数据库表和列名,298个MySQL参数。在曝光的数据中有一条HOSTNAME =>> dbb1.ac.bf1.yahoo.com该域名属于Yahoo Voice应用。因此很可能就是Yahoo Voice应用被成功入侵了。
#######################################
#[ - Owned and Exposed - ] #
# Brought to you by the D33Ds Company #
# #
# Target: <censored>.yahoo.com #
# Method: Union-based SQL Injection #
# #
#######################################
-------------
Jump to:
1. MySQL Variables
2. Database/Table/Column Names
3. email:pass dump (450k users)
4. Final Notes
-------------
1. MySQL Variables
------------------
MAX_PREPARED_STMT_COUNT =>> 16382
CHARACTER_SETS_DIR =>> /home/y/share/mysql/charsets/
HAVE_CRYPT =>> YES
CONNECT_TIMEOUT =>> 10
......
2. Database/Table/Column Names
-------------------------------
[ * ] schema_name ==> table_name :::: column_name
information_schema =>> CHARACTER_SETS :::: CHARACTER_SET_NAME
information_schema =>> CHARACTER_SETS :::: DEFAULT_COLLATE_NAME
information_schema =>> CHARACTER_SETS :::: DESCRIPTION
information_schema =>> CHARACTER_SETS :::: MAXLEN
......
3. email:pass dump (450k users)
--------------------------------
count() = 453491
user_id : user_name : clear_passwd : passwd
1:ac1@associatedcontent.com:@fl!pm0de@
4:john@associatedcontent.com:pass
5:steveol@flash.net:steveol
6:chotzi@aol.com:chotzi
....
366641:colinware7998674@gmail.com:uplgmotv
http://burnbit.com/torrent/206849/yahoo_disclosure_txt
评论27次
已下载 充库充库
已存在。。。。。
你下了吗
已有,充实社工库。
求分享
库在哪里呢!!!!!!!!!!!!!!!
还好偶没有注册 yahoo
求下载呀。
没什么大作用我感觉
我靠 这是啥时候的消息 我还以为是近期又确定了
求地址,求下载。
@changtool 求下载,联xi方式,有酬谢。
....注入。。。
求下载
是文本明文的那个么。。。貌似没有啥作用。。。 求完整库。。。 大伙搞个社工库大全多好。。。
求完整的。。。
已有,继续围观!!!
围观啦
国外底层研究深入。。
是不是据说是明文那个?
求下载
gov的人喜欢这些