欧朋浏览器官方网易微博被劫持（社工）

### 简要描述： 大数据HACK ### 详细说明： 本来想用大数据的能力搞到欧朋论坛的admin，但是admin没搞到，反而弄到了欧朋的网易微博，从而可以发布欺骗或者危害的信息 怎么开始的？ 首先我是查看了http://bbs.oupeng.com/home.php?mod=space&username=admin的信息，发现她的名字有点特别，于是，我就利用大数据的能力，获得了Csineneo用户的密码信息等 Csineneo@Gmail.com loveyou 为了明确Csineneo用户loveyou的密码是正确的，我去gmail试了试，竟然不能够登陆，于是我展开联想，将Csineneo在搜索引擎搜索了个遍，测试了很多网站能够登陆，包括优酷等。 于是我在想Csineneo是否有可能有163的邮箱，于是，我去尝试，没想到，竟然成功了 [<img src="https://images.seebug.org/upload/201309/0619035820734301dd30162f0a3af49ad2de45a9.jpg" alt="ACG9N6D8I{V4LS[]76K95M0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/0619035820734301dd30162f0a3af49ad2de45a9.jpg) 能够成功登陆呢，立即查看了一下她的邮箱信息等，得知有另外一个邮箱为icqpin@163.com，通过大数据得知，icqpin@163.com的密码也是"loveyou!"，只不过多了个感叹号，之后登陆，查看没有什么利用价值，对于我们渗透bbs没什么帮助，我回Csineneo@163.com上来，去到网易微博，发现这个号竟然是欧朋网易微博的官方号，危害可想而知，可以发布虚假谣言等。 [<img src="https://images.seebug.org/upload/201309/06190732b5b7fe9aa294df9fb619cf642d45cef8.jpg" alt="G~C0UPC}NRVJ[CNG)K3L9GP.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/06190732b5b7fe9aa294df9fb619cf642d45cef8.jpg) 经过我后期的观察，发现Csineneo时欧朋的内部员工，而且貌似权限还很大，各个论坛都有她的账户身影，但是还是没有弄到bbs的权限，谁也说不清楚未来什么数据库会被爆出来，所以，还是注意账户安全好点。 已经得知的信息是 ``` Csineneo@Gmail.com loveyou icqpin # loveyou! # icqpin@163.com 手机：15801515517 ``` 希望这位员工注意啦 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201309/061910474b8c7d25f5036b228dc35e794f4760f6.jpg" alt="G~C0UPC}NRVJ[CNG)K3L9GP.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201309/061910474b8c7d25f5036b228dc35e794f4760f6.jpg)