多玩网YY歪歪语音-我是如何成功入侵带有官方标志YY技术内部账号的
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置： &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
多玩网YY歪歪语音-我是如何成功入侵带有官方标志YY技术内部账号的
成功的入侵事件
厂商已经确认
安全意识不足,后台被猜解,管理后台对外,渗透测试思路
测试范围:歪歪全部8000x-80xxx5位歪歪官方工作号
测试手记:一个小小的漏洞官方的技术总是不会在意,哪怕是弱不起眼的一个小接口,一个小xss,而当所有小漏洞都聚集在你手里的时候,那将是你们歪歪技术最头疼的,是用户最害怕的.
借某XX公司产品经理说过的一句话,不要拿漏洞恐吓用户! 我只想说不是在恐吓,而是在帮你们官方技术擦屁股.现在连官方技术都不要屁股了.用户还怎么办?
因为我们毕竟是白帽子,不能因为测试导致破坏了平台的秩序,这是我测试漏洞的宗旨,也是乌云时刻教育我们的!
之前有白帽子在乌云提过一次漏洞事件,但没提方法.
WooYun: YY帐号邮箱信息大量泄露
通过某接口,查询指定用户歪歪号通行证跟邮箱的方法.
为了尽可能保障歪歪平台秩序,我们从后面比较靠后的官方新的工作号下手.搜到个歪歪技术.我想歪歪技术应该挑战起来比较有难度.其他的没什么挑战性.(而且应该不怎么上,不会破坏歪歪秩序)于是我就锁定了一个目标为80203的技术歪歪号.通过得知通行证为andytsang2,就开始简单的软件暴力扫了一遍.结果这技术果断安全意识不差.没办法.只能猥琐点了.用手上所有多玩泄露的数据库导了一遍.这估计是个新来的技术.没有中过招.老的数据库里也没有招,到这里可能很多人都放弃了,我之所以选技术,还有一点我自作聪明的地方.因为我知道,做技术的都是虚心好学的,没有哪个技术刚去公司就什么都会的.因为他们都是为了拿工资而干的.不想我们白帽子.是为了兴趣,是为了梦想.(瞬间觉得我自己好伟大),所以我分析到.一般的技术都会去CSDN社区跟人讨论编程方面不懂的领域,包阔学习知识....
当然,以技术帝众多交流技术的CSDN在过去国内出现的一次严重漏洞中也不幸被脱库了...于是我就开始把技术的歪歪账号导入到CSDN里,居然也没有,于是我从新整理思路,我发现歪歪很爱模仿QQ,QQ搜索好友有按昵称正则的方式列举全平台所有有关键字的用户.歪歪也同样有了.(因为过去没有),我把技术的账号往上面一输.发现技术为了测试,还注册了多个小号.从账号规律来看.这个账号为2号.那如果我把账号前面的编号去掉放到数据库里扫下呢.于是乎CSDN里暴出来了我想要的密码.这个密码是不是就是多玩他常用的密码呢.没办法拉.赌一赌.结果,没谁了,还真是的.成功上了YY技术的号以后.通过漫游内部聊天纪录.得知歪歪很多内部测试服务器IP 信息.及地址..
社工思路写在一起比较烦琐.可以直接看漏洞证明.
再次强调.本次测试未做任何破坏,没有深入!
漏洞证明：
漏洞测试步骤:
1.确定测试目标范围:(歪歪全部8000x-80xxx5位歪歪官方工作号)
2.利用过去YY某接口信息查询测试目标通行证及邮箱信息!
过去乌云此事件地址传送门- WooYun: YY帐号邮箱信息大量泄露
部分80开官方5位号信息证明:
3.为了在测试漏洞的前提下不破坏歪歪平台秩序,把风险降到最低.选择型测试目标!
(通过等级跟所在公会及名称决定其歪歪工作职务,歪歪技术一般只处理无法解决的问题,在线率低.不会影响日常工作,并且难度系数高)确认目标为80203的5位工作号.
4.通过暴力破解及常规测试方法获取80203密码后,发现没有得到密码,于是开始社工.
发现多玩数据库也没有,开始猜测一般技术均上过CSDN请教问题,通过账号搜索依然无果后,暂时放弃.
5.开始利用谷哥hack搜索关键字的方法获取80203信息,利用歪歪客户端模仿QQ搜索功能.尝试把80203账号放入搜索框
证明80203账号andytsang2,结尾的2估计为官方技术测试建立多个号码的编号(目前没搞明白为何用2号当官方工作号,奇葩)
6.有的时候暂时放弃不代表完全放弃,只是换一种思路来了解事物.我们继续跳到第4步,把80203的账号andytsang2的结尾编号2去掉,直接在我的数据库里搜索andytsang.
结果非常开心:
80203的技术曾经在
andytsang andyzeng160@ [emailprotected]
/* csdnandytsang afdbeeba31f [emailprotected]
/* 51ctoandytsang 4de2ef96a68d6c538f03b86 0c3294 [emailprotected]
/* tgbusAndyTsang 173317 [emailprotected]
/* pconlineandytsang afdbeeba31f fa4be8 [emailprotected]
/* 222.83.255.202 新51CTOandytsang afdbeeba31f fa4be8 [emailprotected]
/* 222.83.255.202 新51ctoandytsang f6dc69b4efa129c14a54a39d65f56f10 fc25e8 [emailprotected]
/* 123.89.43.82 ccidnet
这么多网站登陆过.
7.尝试用密码登陆成功登陆YY技术号.然后开始漫游内部信息.
截了个名字证明了下,没做破坏.1秒钟就改了回来!
内部消息漫游:
121.14.46.253 svn.#127.0.0.1 update.172.19.42.172 update. #兴伦配置的生产环境183.61.6.61 test. #广浩给的地址111.178.146.54 test.admin.#121.14.241.43 lbs2. #兴伦配置的测试环境#121.14.241.43 wtlbs2. #兴伦配置的测试环境#121.9.221.222.88.95.245 121.14.46.253 svn.#127.0.0.1 update.#之前的gamelivecard下载服务器测试环境#172.19.42.172 update. #gamelivecard下载服务器测试环境172.19.41.179 update. 183.61.6.61 test. #广浩给的地址#111.178.146.54 test.admin.#111.178.146.54 admin.#121.14.241.43 lbs2. #兴伦配置的测试环境#121.14.241.43 wtlbs2. #兴伦配置的测试环境#121.9.221.#防止YY版本更新#127.0.0.1
#更新#127.0.0.1 updateYY事业部 - 姚冬 说: (12:25:47)gamelivecard/httpdata.cpp 里为什么自己去下载 http，我们在duifw里提供了http的下载了YY事业部-曾文舟-Andy 说: (12:27:02)当时忘了用duifw的HTTP访问了YY事业部 - 姚冬 说: (12:27:03)DWHttpManager::getNocachedResponse(url) 一句话就可以完成http下载YY事业部 - 姚冬 说: (12:27:58)还是用 duifw的http把，我们在里面处理了 wininet的兼容问题，线程问题和缓存问题，还有gzip支持问题。YY事业部 - 姚冬 说: (12:28:06)这些你自己处理还是很难的YY事业部-曾文舟-Andy 说: (12:28:15)嗯 好的YY事业部 - 姚冬 说: (12:29:07)我刚才跑测试 碰巧发现了一个 句柄问题，所以才很你说下YY事业部 - 姚冬 说: (12:29:24) if (WAIT_OBJECT_0 == ::WaitForSingleObject(m_work
涉及很多严重漏洞..
通过聊天纪录得知:80203为歪歪官方游戏直播故障负责技术.
8.白帽子跟歪歪技术最大的区别在于:歪歪技术是为了工资而工作,白帽子是为了兴趣爱好跟梦想在实践,所以社工还在继续,我们并没有放弃.作为在歪歪消费好几万的核心用户来说,知道能拥有官方80开5位工作号的技术,他必定拥有9090开的***号.并且账号规则都是以人名为名的!如果弄到账号,密码一样.那不就能进入多玩内部管理系统海度系统了?
9.通过账号规则社工分析判断80203应该姓曾,通过各种搜索.都没能得知后2位名字.于是想到其他编号的测试账号应该也有聊天纪录.密码肯定也一样.于是成功登陆其他开头编号的测试号.通过聊天纪录得知道80203的歪歪技术现实名字应该为曾文周.歪歪官方全部9090开的账号都以人名命名于是:账号规则应该是dw_zengwenzhou 就是9090开的工作号.通过找回密码处的服务.输入账号证明了这点:
10.进入歪歪官方海度系统,发现只要登陆客户端输入工号或者邮箱就能直接发密码给自己
直接登陆9090开号.
11.利用手机客户端饶过外网登陆验证令牌.我懒得看JS了.其实客户端我也能饶懒得跑了.
然后进内部总群 跟李学凌面对面.天天看工作群里聊天真热闹..
后续这些.并没有进行尝试.只是说了下,因为本着测试出发.提交此漏洞是因为.还没处理啊.
发出漏洞以后.为了不让其他人进行破坏.修改了下80开***密码.怕有心人捣乱.还请官方见谅.
修复方案：
安全意识超过你的技能,一个优秀的公司,一个好的产品经理,好的团队,这是必不可少的.你们拿着每个也10几K的工资时.不要忘了一直为兴趣爱好跟梦想帮你们擦屁股的白帽子们!
版权声明：转载请注明来源 佩佩@乌云
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题：本站链接：
分享请点击：
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责；
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性，不作出任何保证或承若；
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
盖世人读书，第一要有志，第二要有识，第三要有恒；有志则断不甘为下流，有识则知学问无尽，不敢以一得自足，有恒则断无不成之事。---曾国藩
手机客户端
，专注代码审计及安全周边编程，转载请注明出处：http://www.codesec.net
转载文章如有侵权，请邮件 admin[at]codesec.net【图文】如何使用YY教程大全_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
如何使用YY教程大全
上传于||暂无简介
大小：1.55MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢