当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082054

漏洞标题:多玩网YY歪歪语音-我是如何成功入侵带有官方标志YY技术内部账号的

相关厂商:广州多玩

漏洞作者: 佩佩

提交时间:2014-11-05 09:50

修复时间:2014-12-20 09:52

公开时间:2014-12-20 09:52

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-05: 细节已通知厂商并且等待厂商处理中
2014-11-05: 厂商已经确认,细节仅向厂商公开
2014-11-15: 细节向核心白帽子及相关领域专家公开
2014-11-25: 细节向普通白帽子公开
2014-12-05: 细节向实习白帽子公开
2014-12-20: 细节向公众公开

简要描述:

RT:众所周知,每个游戏平台都有属于自己的GM号,歪歪也不例外,这次上的是带有歪歪官方工作人员标志的80开5位号.如果用来进行欺诈,钓鱼,后果不堪设想.本来我是不想提的,因为在乌云这么多大神大牛中,谁没上过几个官方内部号啊.我后来决定提的原因是多玩公司作为上市公司,对网络安全的意识差就不说了,连在乌云的响应速度都很慢,都应属于小厂商范畴了.像新浪.腾讯.哪个没有自己的安全应急平台,没有就没有吧,提到乌云了.漏洞审核速度超级慢的,要不就是忽略了.(发了点牢骚,也是为歪歪着想,有点跑题了)
-------------------------------------------------------------------------------
Ps:总的原因发这个漏洞是因为:官方都发现几天了,依然不处理此号,因为这号是歪歪负责的一个技术的.连技术的安全都这么差,还想别人吗 *_*
喜欢和乌云最热心的白帽子交流技术YY:94154

详细说明:

测试范围:歪歪全部8000x-80xxx5位歪歪官方工作号
测试手记:一个小小的漏洞官方的技术总是不会在意,哪怕是弱不起眼的一个小接口,一个小xss,而当所有小漏洞都聚集在你手里的时候,那将是你们歪歪技术最头疼的,是用户最害怕的.
借某XX公司产品经理说过的一句话,不要拿漏洞恐吓用户! 我只想说白帽子不是在恐吓,而是在帮你们官方技术擦屁股.现在连官方技术都不要屁股了.用户还怎么办?
因为我们毕竟是白帽子,不能因为测试导致破坏了平台的秩序,这是我测试漏洞的宗旨,也是乌云时刻教育我们的!
之前有白帽子在乌云提过一次漏洞事件,但没提方法.
WooYun: YY帐号邮箱信息大量泄露
通过某接口,查询指定用户歪歪号通行证跟邮箱的方法.
为了尽可能保障歪歪平台秩序,我们从后面比较靠后的官方新的工作号下手.搜到个歪歪技术.我想歪歪技术应该挑战起来比较有难度.其他的没什么挑战性.(而且应该不怎么上,不会破坏歪歪秩序)于是我就锁定了一个目标为80203的技术歪歪号.通过得知通行证为andytsang2,就开始简单的软件暴力扫了一遍.结果这技术果断安全意识不差.没办法.只能猥琐点了.用手上所有多玩泄露的数据库导了一遍.这估计是个新来的技术.没有中过招.老的数据库里也没有招,到这里可能很多人都放弃了,我之所以选技术,还有一点我自作聪明的地方.因为我知道,做技术的都是虚心好学的,没有哪个技术刚去公司就什么都会的.因为他们都是为了拿工资而干的.不想我们白帽子.是为了兴趣,是为了梦想.(瞬间觉得我自己好伟大),所以我分析到.一般的技术都会去CSDN社区跟人讨论编程方面不懂的领域,包阔学习知识....
当然,以技术帝众多交流技术的CSDN在过去国内出现的一次严重漏洞中也不幸被脱库了...于是我就开始把技术的歪歪账号导入到CSDN里,居然也没有,于是我从新整理思路,我发现歪歪很爱模仿QQ,QQ搜索好友有按昵称正则的方式列举全平台所有有关键字的用户.歪歪也同样有了.(因为过去没有),我把技术的账号往上面一输.发现技术为了测试,还注册了多个小号.从账号规律来看.这个账号为2号.那如果我把账号前面的编号去掉放到数据库里扫下呢.于是乎CSDN里暴出来了我想要的密码.这个密码是不是就是多玩他常用的密码呢.没办法拉.赌一赌.结果,没谁了,还真是的.成功上了YY技术的号以后.通过漫游内部聊天纪录.得知歪歪很多内部测试服务器IP 信息.及地址..
社工思路写在一起比较烦琐.可以直接看漏洞证明.
再次强调.本次测试未做任何破坏,没有深入!

漏洞证明:

漏洞测试步骤:
1.确定测试目标范围:(歪歪全部8000x-80xxx5位歪歪官方工作号)
2.利用过去YY某接口信息查询测试目标通行证及邮箱信息!
过去乌云此事件地址传送门- WooYun: YY帐号邮箱信息大量泄露
部分80开官方5位号信息证明:

YY账号.jpg


3.为了在测试漏洞的前提下不破坏歪歪平台秩序,把风险降到最低.选择型测试目标!
(通过等级跟所在公会及名称决定其歪歪工作职务,歪歪技术一般只处理无法解决的问题,在线率低.不会影响日常工作,并且难度系数高)确认目标为80203的5位工作号.
4.通过暴力破解及常规测试方法获取80203密码后,发现没有得到密码,于是开始社工.
发现多玩数据库也没有,开始猜测一般技术均上过CSDN请教问题,通过账号搜索依然无果后,暂时放弃.
5.开始利用谷哥hack搜索关键字的方法获取80203信息,利用歪歪客户端模仿QQ搜索功能.尝试把80203账号放入搜索框
如图

YY账号搜索.jpg


证明80203账号andytsang2,结尾的2估计为官方技术测试建立多个号码的编号(目前没搞明白为何用2号当官方工作号,奇葩)
6.有的时候暂时放弃不代表完全放弃,只是换一种思路来了解事物.我们继续跳到第4步,把80203的账号andytsang2的结尾编号2去掉,直接在我的数据库里搜索andytsang.
结果非常开心:
80203的技术曾经在

andytsang	 andyzeng160@		[email protected]		csdn
andytsang	af9812f2248c4dbeeb26231b12f5a31f		[email protected]		51cto
andytsang	4de2e050971eb9f96a68d6c538f03b86	0c3294	[email protected]		tgbus
AndyTsang	173317		[email protected]		pconline
andytsang	af9812f2248c4dbeeb26231b12f5a31f	fa4be8	[email protected]	222.83.255.202	新51CTO
andytsang	af9812f2248c4dbeeb26231b12f5a31f	fa4be8	[email protected]	222.83.255.202	新51cto
andytsang	f6dc69b4efa129c14a54a39d65f56f10	fc25e8	[email protected]	123.89.43.82	ccidnet


这么多网站登陆过.
7.尝试用密码登陆成功登陆YY技术号.然后开始漫游内部信息.

YYdenglu.jpg


截了个名字证明了下,没做破坏.1秒钟就改了回来!

YYceshi.jpg


内部消息漫游:

121.14.46.253 svn.yy.duowan.com
#127.0.0.1 update.yy.duowan.com
172.19.42.172 update.yy.duowan.com  #兴伦配置的生产环境
183.61.6.61 test.live.yy.com #广浩给的地址
111.178.146.54 test.admin.live.yy.com
#121.14.241.43 lbs2.yy.duowan.com  #兴伦配置的测试环境
#121.14.241.43 wtlbs2.yy.duowan.com  #兴伦配置的测试环境
#121.9.221.216 test.componentsrv.duowan.com
222.88.95.245 componentsrv.duowan.com
121.14.46.253 svn.yy.duowan.com
#127.0.0.1 update.yy.duowan.com
#之前的gamelivecard下载服务器测试环境
#172.19.42.172 update.yy.duowan.com 
#gamelivecard下载服务器测试环境
172.19.41.179 update.yy.duowan.com  
183.61.6.61 test.live.yy.com #广浩给的地址
#111.178.146.54 test.admin.live.yy.com
#111.178.146.54 admin.live.yy.com
#121.14.241.43 lbs2.yy.duowan.com  #兴伦配置的测试环境
#121.14.241.43 wtlbs2.yy.duowan.com  #兴伦配置的测试环境
#121.9.221.216 test.componentsrv.duowan.com
#防止YY版本更新
#127.0.0.1 	yydl.duowan.com  #更新
#127.0.0.1 	update
YY事业部 - 姚冬 说: (12:25:47)
gamelivecard/httpdata.cpp 里为什么自己去下载 http,我们在duifw里提供了http的下载了
YY事业部-曾文舟-Andy 说: (12:27:02)
当时忘了用duifw的HTTP访问了
YY事业部 - 姚冬 说: (12:27:03)
DWHttpManager::getNocachedResponse(url) 一句话就可以完成http下载
YY事业部 - 姚冬 说: (12:27:58)
还是用 duifw的http把,我们在里面处理了 wininet的兼容问题,线程问题和缓存问题,还有gzip支持问题

YY事业部 - 姚冬 说: (12:28:06)
这些你自己处理还是很难的
YY事业部-曾文舟-Andy 说: (12:28:15)
嗯 好的
YY事业部 - 姚冬 说: (12:29:07)
我刚才跑测试 碰巧发现了一个 句柄问题,所以才很你说下
YY事业部 - 姚冬 说: (12:29:24)
	if (WAIT_OBJECT_0 == ::WaitForSingleObject(m_work


涉及很多严重漏洞..
通过聊天纪录得知:80203为歪歪官方游戏直播故障负责技术.
8.白帽子跟歪歪技术最大的区别在于:歪歪技术是为了工资而工作,白帽子是为了兴趣爱好跟梦想在实践,所以社工还在继续,我们并没有放弃.作为在歪歪消费好几万的核心用户来说,知道能拥有官方80开5位工作号的技术,他必定拥有9090开的客服号.并且账号规则都是以人名为名的!如果弄到账号,密码一样.那不就能进入多玩内部管理系统海度系统了?
9.通过账号规则社工分析判断80203应该姓曾,通过各种搜索.都没能得知后2位名字.于是想到其他编号的测试账号应该也有聊天纪录.密码肯定也一样.于是成功登陆其他开头编号的测试号.通过聊天纪录得知道80203的歪歪技术现实名字应该为曾文周.歪歪官方全部9090开的账号都以人名命名于是:账号规则应该是dw_zengwenzhou 就是9090开的工作号.通过找回密码处的服务.输入账号证明了这点:

YYyonghu.jpg


10.进入歪歪官方海度系统,发现只要登陆客户端输入工号或者邮箱就能直接发密码给自己
直接登陆9090开号.

YY密码找回.jpg


11.利用手机客户端饶过外网登陆验证令牌.我懒得看JS了.其实客户端我也能饶懒得跑了.
然后进内部总群20050411 跟李学凌面对面.天天看工作群里聊天真热闹..
后续这些.并没有进行尝试.只是说了下,因为本着测试出发.提交此漏洞是因为.还没处理啊.
发出漏洞以后.为了不让其他人进行破坏.修改了下80开客服密码.怕有心人捣乱.还请官方见谅.

修复方案:

安全意识超过你的技能,一个优秀的公司,一个好的产品经理,好的团队,这是必不可少的.你们拿着每个也10几K的工资时.不要忘了一直为兴趣爱好跟梦想帮你们擦屁股的白帽子们!

版权声明:转载请注明来源 佩佩@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-11-05 14:56

厂商回复:

感谢对于欢聚时代安全工作的支持,我们会尽快修复

最新状态:

暂无