最近分析了一下佳缘,发几个洞洞出来,一个个发太麻烦就一并发了吧,希望“小龙女”给个 >15 rank ,求个妹纸给那个谁吧,我就不要了。要求就说这么多吧,enn ……   上菜(请不要鄙视我的标题,世纪佳缘号称有这么多,呵呵,具体有不有就不去深究了,哪位兄弟对这个问题感兴趣,就去发掘注入点吧)

————–先来个严重点的漏洞————–

原本想写个javascript worm,思路是获取好友列表,把worm发给好友,好友收信不知不觉后台再传worm给他的好友….实现是没有问题,经过测试,考虑到存在影响较大,就作罢了。希望官方及时修补,以免用户受损。

本人在此郑重申明:本漏洞只作为测试学习用途,如有利用其危害他人及触犯法律,后果自负,本人不承担任何法律责任。

本人承诺:测试过程的cookie承诺在发文前进行删除。

content输入点没过滤,并且可输出到好友信箱,导制可传播worm,严重影响7300W用户

上图

\

\

\

————再发两个xss小漏洞——————-

漏洞1

佳缘重点防护在输入点上,但还是发现一个输入点没过滤

存储型xss漏洞

?moban=1 –> mb_input -> subject 没有过滤  是个存储型xss

跨自己没问题

输出到信件里被转义了,没找到更好的输出点所以影响不大

上图

\

漏洞2

反射型xss

?www.google.co.jp

response:

可以跨到指定目标上,可以利用有一定影响

有图有真像

\

——-最后发点星星点点思路给有兴趣的去整吧———–

起初的想法是搞个免费看信的洞洞造福一下7300W佳缘会员

分析下来这才搞清楚id <->uidhash关系,msgidhash 和明文msgid的部份关系,写了个脚本去跑newmsgid,发现不行,即使有解密后的msgid也看不了信,返加是空白。

当然这个是什么原因我还没分析,不过可以把前期发现的星星点点发出来,给后面的兄弟去发挥。分析了很久,说不定有帮助。

找到限制点说不定就能想办法bypass掉,那就造福人类啦!呵呵

OK……

例如 我发现

Msgid明文

736100000019ac57

msgid密文为

9wXc3q4MNpMVoTERJROUTEzKlmMfB*k4QYY3rjdvURh9UmvFMajvcP0Pkk6skAI0k7SXCZFbhP4SBmSojLOmUCCQiWA.

(后来我才知道wooyun上有人提过了这个问题,当时msgid就是md5还是什么来着忘了,现在好像变了,Hun~~安全做得越好越有兴趣 呵呵)

加密算法我没去深究因为佳缘在这方面出过洞洞,所以做了重点防护。类似id <->uidhash(也后来才看到有人提过了,早知道就不用这么麻烦了,呵呵,妹纸的诱惑无穷呀!)

uidhash这个洞佳缘彻底修复有难度,牵扯很多其它功能都要改,改那就要大动干戈了,原因可能是考虑这个问题现在不是特别影响安全。以后的事谁知道…

继续上面…

虽然密文我们找不到加密算法,但明文是有规律的,基数是

["0","1","2","3","4","5","6","7","8","9","a","b","c","d","e","f"]

F+1进位

像Msg1= 736100000019ac57

Msg2= 736100000019ac57+1

前提是你要带着cookie去跑,这个地方发现个洞洞 SESSION_HASH、RAW_HASH、COMMON_HASH从来不会变,而且好像cookie无限期有效,至少我测试的时候一直可以用,一般SESSION_HASH应该会变,我不知道这算不算是梳乎……

…其它的cookie项可以忽略掉。

32位密文,我猜SESSION_HASH、RAW_HASH、COMMON_HASH都是MD5,至于哪个值md5来的我也没去深究 RAW 我好像在哪个js或功能模块里看到过,没留意,感兴趣的可以继续整一下

如果假设成立,估计光这个洞够佳缘烦的了,为了保护7300W用户,建议佳缘安全人员好好排除一下这个隐患,自己发现好过让别人发现。别老干 亡羊补牢的事!

OK.下面的工作就交给程序…

跑过一遍后发现:

response.body= 47686 是正常信

response.body= 3593  是别人的信

response.body= 8.36 KB 是管理员的信(具体多少我忘了记录,影响不大)

response.body=空,这就是关键了!! 是别人没有贴邮票发的信(重点可以深究一下怎么bypass,或都原没有我想的简单,就当我yy吧!  呵呵,妹纸,驱动呢地,没所畏惧!!精力冲沛塞!!!)返回的是”数据异常”

如果推断是对的,pass掉“数据异常”的限制或把RAW、SESSION、COMMON搞出来或窃取到,那会员没有稳私了,也就可以查看别人的信和干其它想干的事了