教你怎么创建yy频道/获得稀有的原始7位频道ID
核心提示：　　目前，默认的是创建不了原始的7位的频道ID的，一般都是8位以上。这个技巧基本很少人知道的，这里把这个秘密公布给大家。希望
　　目前，默认的是创建不了原始的7位的频道ID的，一般都是8位以上。这个技巧基本很少人知道的，这里把这个秘密公布给大家。希望对大家有所帮助哈。建立小窝什么的最有用了。
　　图解：首先在ID前面加0，不加0是无法搜索到7位ID的。只能搜索到8位的。然后输入你喜欢的6位数字。如果有您要的ID就会在下面显示由您选。但超过/70被申请。即可显示你喜欢的7位ID了。
本文笑笑原创作品
●【往下看，下面更精彩】●多玩网YY歪歪语音-我是如何成功入侵带有官方标志YY技术内部账号的
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
多玩网YY歪歪语音-我是如何成功入侵带有官方标志YY技术内部账号的
成功的入侵事件
厂商已经确认
安全意识不足,后台被猜解,管理后台对外,渗透测试思路
测试范围:歪歪全部8000x-80xxx5位歪歪官方工作号
测试手记:一个小小的漏洞官方的技术总是不会在意,哪怕是弱不起眼的一个小接口,一个小xss,而当所有小漏洞都聚集在你手里的时候,那将是你们歪歪技术最头疼的,是用户最害怕的.
借某XX公司产品经理说过的一句话,不要拿漏洞恐吓用户! 我只想说不是在恐吓,而是在帮你们官方技术擦屁股.现在连官方技术都不要屁股了.用户还怎么办?
因为我们毕竟是白帽子,不能因为测试导致破坏了平台的秩序,这是我测试漏洞的宗旨,也是乌云时刻教育我们的!
之前有白帽子在乌云提过一次漏洞事件,但没提方法.
WooYun: YY帐号邮箱信息大量泄露
通过某接口,查询指定用户歪歪号通行证跟邮箱的方法.
为了尽可能保障歪歪平台秩序,我们从后面比较靠后的官方新的工作号下手.搜到个歪歪技术.我想歪歪技术应该挑战起来比较有难度.其他的没什么挑战性.(而且应该不怎么上,不会破坏歪歪秩序)于是我就锁定了一个目标为80203的技术歪歪号.通过得知通行证为andytsang2,就开始简单的软件暴力扫了一遍.结果这技术果断安全意识不差.没办法.只能猥琐点了.用手上所有多玩泄露的数据库导了一遍.这估计是个新来的技术.没有中过招.老的数据库里也没有招,到这里可能很多人都放弃了,我之所以选技术,还有一点我自作聪明的地方.因为我知道,做技术的都是虚心好学的,没有哪个技术刚去公司就什么都会的.因为他们都是为了拿工资而干的.不想我们白帽子.是为了兴趣,是为了梦想.(瞬间觉得我自己好伟大),所以我分析到.一般的技术都会去CSDN社区跟人讨论编程方面不懂的领域,包阔学习知识....
当然,以技术帝众多交流技术的CSDN在过去国内出现的一次严重漏洞中也不幸被脱库了...于是我就开始把技术的歪歪账号导入到CSDN里,居然也没有,于是我从新整理思路,我发现歪歪很爱模仿QQ,QQ搜索好友有按昵称正则的方式列举全平台所有有关键字的用户.歪歪也同样有了.(因为过去没有),我把技术的账号往上面一输.发现技术为了测试,还注册了多个小号.从账号规律来看.这个账号为2号.那如果我把账号前面的编号去掉放到数据库里扫下呢.于是乎CSDN里暴出来了我想要的密码.这个密码是不是就是多玩他常用的密码呢.没办法拉.赌一赌.结果,没谁了,还真是的.成功上了YY技术的号以后.通过漫游内部聊天纪录.得知歪歪很多内部测试服务器IP 信息.及地址..
社工思路写在一起比较烦琐.可以直接看漏洞证明.
再次强调.本次测试未做任何破坏,没有深入!
漏洞证明：
漏洞测试步骤:
1.确定测试目标范围:(歪歪全部8000x-80xxx5位歪歪官方工作号)
2.利用过去YY某接口信息查询测试目标通行证及邮箱信息!
过去乌云此事件地址传送门- WooYun: YY帐号邮箱信息大量泄露
部分80开官方5位号信息证明:
3.为了在测试漏洞的前提下不破坏歪歪平台秩序,把风险降到最低.选择型测试目标!
(通过等级跟所在公会及名称决定其歪歪工作职务,歪歪技术一般只处理无法解决的问题,在线率低.不会影响日常工作,并且难度系数高)确认目标为80203的5位工作号.
4.通过暴力破解及常规测试方法获取80203密码后,发现没有得到密码,于是开始社工.
发现多玩数据库也没有,开始猜测一般技术均上过CSDN请教问题,通过账号搜索依然无果后,暂时放弃.
5.开始利用谷哥hack搜索关键字的方法获取80203信息,利用歪歪客户端模仿QQ搜索功能.尝试把80203账号放入搜索框
证明80203账号andytsang2,结尾的2估计为官方技术测试建立多个号码的编号(目前没搞明白为何用2号当官方工作号,奇葩)
6.有的时候暂时放弃不代表完全放弃,只是换一种思路来了解事物.我们继续跳到第4步,把80203的账号andytsang2的结尾编号2去掉,直接在我的数据库里搜索andytsang.
结果非常开心:
80203的技术曾经在
andytsang andyzeng160@ [emailprotected]
/* csdnandytsang afdbeeba31f [emailprotected]
/* 51ctoandytsang 4de2ef96a68d6c538f03b86 0c3294 [emailprotected]
/* tgbusAndyTsang 173317 [emailprotected]
/* pconlineandytsang afdbeeba31f fa4be8 [emailprotected]
/* 222.83.255.202 新51CTOandytsang afdbeeba31f fa4be8 [emailprotected]
/* 222.83.255.202 新51ctoandytsang f6dc69b4efa129c14a54a39d65f56f10 fc25e8 [emailprotected]
/* 123.89.43.82 ccidnet
这么多网站登陆过.
7.尝试用密码登陆成功登陆YY技术号.然后开始漫游内部信息.
截了个名字证明了下,没做破坏.1秒钟就改了回来!
内部消息漫游:
121.14.46.253 svn.#127.0.0.1 update.172.19.42.172 update. #兴伦配置的生产环境183.61.6.61 test. #广浩给的地址111.178.146.54 test.admin.#121.14.241.43 lbs2. #兴伦配置的测试环境#121.14.241.43 wtlbs2. #兴伦配置的测试环境#121.9.221.222.88.95.245 121.14.46.253 svn.#127.0.0.1 update.#之前的gamelivecard下载服务器测试环境#172.19.42.172 update. #gamelivecard下载服务器测试环境172.19.41.179 update. 183.61.6.61 test. #广浩给的地址#111.178.146.54 test.admin.#111.178.146.54 admin.#121.14.241.43 lbs2. #兴伦配置的测试环境#121.14.241.43 wtlbs2. #兴伦配置的测试环境#121.9.221.#防止YY版本更新#127.0.0.1
#更新#127.0.0.1 updateYY事业部 - 姚冬 说: (12:25:47)gamelivecard/httpdata.cpp 里为什么自己去下载 http，我们在duifw里提供了http的下载了YY事业部-曾文舟-Andy 说: (12:27:02)当时忘了用duifw的HTTP访问了YY事业部 - 姚冬 说: (12:27:03)DWHttpManager::getNocachedResponse(url) 一句话就可以完成http下载YY事业部 - 姚冬 说: (12:27:58)还是用 duifw的http把，我们在里面处理了 wininet的兼容问题，线程问题和缓存问题，还有gzip支持问题。YY事业部 - 姚冬 说: (12:28:06)这些你自己处理还是很难的YY事业部-曾文舟-Andy 说: (12:28:15)嗯 好的YY事业部 - 姚冬 说: (12:29:07)我刚才跑测试 碰巧发现了一个 句柄问题，所以才很你说下YY事业部 - 姚冬 说: (12:29:24) if (WAIT_OBJECT_0 == ::WaitForSingleObject(m_work
涉及很多严重漏洞..
通过聊天纪录得知:80203为歪歪官方游戏直播故障负责技术.
8.白帽子跟歪歪技术最大的区别在于:歪歪技术是为了工资而工作,白帽子是为了兴趣爱好跟梦想在实践,所以社工还在继续,我们并没有放弃.作为在歪歪消费好几万的核心用户来说,知道能拥有官方80开5位工作号的技术,他必定拥有9090开的***号.并且账号规则都是以人名为名的!如果弄到账号,密码一样.那不就能进入多玩内部管理系统海度系统了?
9.通过账号规则社工分析判断80203应该姓曾,通过各种搜索.都没能得知后2位名字.于是想到其他编号的测试账号应该也有聊天纪录.密码肯定也一样.于是成功登陆其他开头编号的测试号.通过聊天纪录得知道80203的歪歪技术现实名字应该为曾文周.歪歪官方全部9090开的账号都以人名命名于是:账号规则应该是dw_zengwenzhou 就是9090开的工作号.通过找回密码处的服务.输入账号证明了这点:
10.进入歪歪官方海度系统,发现只要登陆客户端输入工号或者邮箱就能直接发密码给自己
直接登陆9090开号.
11.利用手机客户端饶过外网登陆验证令牌.我懒得看JS了.其实客户端我也能饶懒得跑了.
然后进内部总群 跟李学凌面对面.天天看工作群里聊天真热闹..
后续这些.并没有进行尝试.只是说了下,因为本着测试出发.提交此漏洞是因为.还没处理啊.
发出漏洞以后.为了不让其他人进行破坏.修改了下80开***密码.怕有心人捣乱.还请官方见谅.
修复方案：
安全意识超过你的技能,一个优秀的公司,一个好的产品经理,好的团队,这是必不可少的.你们拿着每个也10几K的工资时.不要忘了一直为兴趣爱好跟梦想帮你们擦屁股的白帽子们!
版权声明：转载请注明来源 佩佩@乌云
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
同在一个环境中生活，强者与弱者的分界就在于谁能改变它
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net注册时间13-7-10UID24832YY号

发表于 13-7-10 21:04:38
查看: 7975|回复: 59
怎么获得短位YY号
注册时间12-7-24UID3296YY号威望24 臭虫219 人气3106 虾贝18 虾币50 经验0 虾米6942 在线时间1454 小时积分24339
前面的虾友靠边停车
传奇神虾Lv.17, 积分 24339, 距离下一级还需 661 积分
YY号威望24 臭虫219 虾贝18 虾币50 经验0 积分24339
发表于 13-7-11 11:24:11
;P多多关注YY 以及论坛的活动。
在虾哥也是能拿到激活码的。。
LOL 艾欧尼亚&&邂小玩&&嘴强王者段位
注册时间13-5-31UID23000YY号

发表于 13-7-11 12:46:27
本帖最后由 YY-星语 于 13-7-12 02:16 编辑
1.虾歌论坛（需要活跃发帖）
2.YY最近的打怪活动（需要RP和坚持）
3.可以去YY商城***(需要金钱作为交易)
4.可以去YY商城抽奖(看RP)
5.有个YY会员玩游戏每日抽奖（看RP）
6.YY频道的应用中心 里面有个公会加油站。（需要油票换）
& && & 如点击93频道 →点击应用中心 →点击公会加油站→点击今日推销
7.参加官方的管理。
注册时间13-5-24UID22714YY号威望0 臭虫0 人气79 虾贝0 虾币0 经验0 虾米275 在线时间11 小时积分141
进阶小虾Lv.2, 积分 141, 距离下一级还需 -91 积分
YY号威望0 臭虫0 虾贝0 虾币0 经验0 积分141
发表于 13-7-11 17:33:52
1虾歌论坛（需要活跃发帖）看楼上的
2YY最近的打怪活动（需要RP和坚持）
3可以去YY商城***(需要金钱作为交易)
4可以去YY商城抽奖(看RP)
注册时间13-5-9UID21552YY号

发表于 13-7-11 18:59:11
13-7-11 18:59 上传
注册时间13-7-12UID24875YY号威望0 臭虫0 人气29 虾贝0 虾币0 经验0 虾米91 在线时间7 小时积分51
进阶小虾Lv.2, 积分 51, 距离下一级还需 -1 积分
YY号威望0 臭虫0 虾贝0 虾币0 经验0 积分51
发表于 13-7-12 17:31:21
YY商城有抽奖..看你人品。。一直参加，一直不中
注册时间12-10-13UID5803YY号

发表于 13-7-13 11:25:26
歪歪商城抽奖和一些官方活动中,,,
注册时间12-9-8UID4497YY号

发表于 13-7-13 19:16:18
YY商城...真的很坑爹，东西都太贵了
腾讯微博求关注：/jiang-jiahao
注册时间12-10-5UID6145YY号

发表于 13-7-14 10:26:38
1.虾歌论坛（需要活跃发帖）
2.YY最近的打怪活动（需要RP和坚持）
3.可以去YY商城***(需要金钱作为交易)
4.可以去YY商城抽奖(看RP)
5.有个YY会员玩游戏每日抽奖（看RP）
6.YY频道的应用中心 里面有个公会加油站。（需要油票换）
& && & 如点击93频道 →点击应用中心 →点击公会加油站→点击今日推销
7.参加官方的管理。
一个人不懂什么是拥有，两个人不懂怎么把握，越在乎就越脆弱。
注册时间13-7-14UID24939YY号

发表于 13-7-14 13:49:06
我们一起努力。。。。
YY7.0内测勋章
YY7.0内测勋章
3周年纪念勋章
论坛3周年纪念勋章
虾哥论坛人气大于500
白富美/高富帅
虾米大于2000的虾友
职业游虾中级
在线时间超过1000小时的虾哥论坛职业游侠
6.0内测资格
拥有此勋章的虾友将拥有6.0版本内测资格
虾哥论坛初级写手
帖子大于100
30频道会员
30频道会员勋章（永久）
30频道VIP（永久）
领取后请联系920650上马甲
新版测试虾
新版测试虾专属勋章
虾哥论坛大神
职业游虾初级
在线时间超过500小时的虾哥论坛职业游侠
YY8内测勋章
YY8内测勋章
虾哥论坛五周年勋章
虾哥论坛五周年勋章
通过虾米购买价格5000虾米富豪象征
30频道红马/粉马
在30频道任职红马管理员
虾哥论坛中级写手
帖子大于200
虾哥论坛高级写手
帖子大于500
白羊座勋章
个性化十二星座勋章，用户可用虾米购买
天蝎座勋章
个性化十二星座勋章，用户可用虾米购买
金牛座勋章
个性化十二星座勋章，用户可用虾米购买
双子座勋章
个性化十二星座勋章，用户可用虾米购买
巨蟹座勋章
个性化十二星座勋章，用户可用虾米购买
处女座勋章
个性化十二星座勋章，用户可用虾米购买yy歪歪：如何使用YY号登录？ | yy主播网欢迎来到YY粉丝网！
yy短位id申请要求|标准|时间|yy怎么|如何申请短位id
作者:admin 来源: 发表时间:
　　作为最大的语音工具yy，申请一个短位ID是必须的，因为不仅好记，方便宣传，对于公会的发展壮大起着至关重要的作用。yy短位id申请的一些要求我们为大家详细解析下，希望对于yy新手有所帮助。
　　怎么申请yy短位id
　　短位ID自助申请地址(请用OW账号登陆申请)
　　yy短位id申请流程
　　1、打开系统地址：
　　2、使用要申请短位ID的频道OW的YY帐号登陆发号系统。(注意填写正确的验证码)
　　3、登陆成功后可查看您当前YY账号的频道概况，点击右侧&我要申请&，按照系统提示选择您想要的ID，正确填写所需资料。(您所填写的资料将成为找回账号密码重要依据，请慎重)
　　4、点击提交，您就可以立即获得新的短位ID。
　　5、该系统已实现全自动发号，0秒等待，标准公开透明，真正做到公平、公正、简便、快速的ID获取通道。
　　6、另外还可以轻松的自行更换已经获取的短位ID。如果您申请的ID，您不再满意了，您可以在该ID申请成功15天后，点击右侧的&我要换号&更换其他短位ID。
　　7、如果您好有其他疑问可以到***中心或者到10***频道咨询。感谢您对YY的支持!