乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-12-08: 细节已通知厂商并且等待厂商处理中 2014-12-13: 厂商已经主动忽略漏洞,细节向公众公开
RT,
首先是主站的接口就是在主站右上角的登陆接口是一个。其次是在http://kzone.kuwo.cn/mlog/这个也是一个两个端口都没有验证码。没有做限制明文传输的密码和用户发送包如下第一个接口的:
POST /mlog/st/LoginBox HTTP/1.1Host: www.kuwo.cnProxy-Connection: keep-aliveAccept: */*Origin: http://www.kuwo.cnX-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Referer: http://www.kuwo.cn/Accept-Encoding: gzip,deflate,sdchAccept-Language: zh-CN,zh;q=0.8Cookie: bdshare_firstime=1417789484895; rec_usr=1417798272150x186_0_1417798272150; Hm_lvt_cdb524f42f0ce19b169a8071123a4797=1417789485,1417798273,1417798310,1417798318; Hm_lpvt_cdb524f42f0ce19b169a8071123a4797=1417798318Content-Length: 41username=1&password=1&useCookie=undefined
第二个接口的:
POST /mlog/st/LoginBox HTTP/1.1Host: kzone.kuwo.cnProxy-Connection: keep-aliveCache-Control: max-age=0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Origin: http://kzone.kuwo.cnUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36Content-Type: application/x-www-form-urlencodedReferer: http://kzone.kuwo.cn/mlog/Accept-Encoding: gzip,deflate,sdchAccept-Language: zh-CN,zh;q=0.8Cookie: JSESSIONID=37A80F975BEA4ED21C070CF6BFDC7C55.worker3; bdshare_firstime=1417798357410; kwab=sid%3D1417798379484x84444%3Bkzone%3Dkzone%3B; rec_usr=1417798386207x115_164420682_1417798386207; r3=n; logintype=1; Hm_lvt_cdb524f42f0ce19b169a8071123a4797=1417789485,1417798273,1417798310,1417798318; Hm_lpvt_cdb524f42f0ce19b169a8071123a4797=1417798467Content-Length: 42Connection: closeusername=chewy&password=123456&useCookie=1
轻松过千
少量账号作证:大概两百个左右
***** **********na 1********** 12********** 12********** 12********** 12********** 12********** 12**********123********** 12********** 12**********234**********234**********234********** 12********** 12**********234**********234**********234********** 12********** 12********** 12********** 12********** 12**********123********** 12********** 12********** 12********** 12********** 12********** 123********** 123********** 123**********1234**********123********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12**********1234**********1234**********234**********234**********234********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 123**********234**********234********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12**********1234********** 12********** 12********** 12********** 12********** 12********** 12**********123**********123**********123**********123**********234**********234**********234**********234**********234**********234********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12**********123**********234**********234**********234**********234**********234**********234**********234**********234**********234**********234**********234**********234**********234********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12********** 12**********123**********234**********234**********234**********234**********234**********234**********234**********234********** 12**********234**********234**********234*****
你们懂的
危害等级:无影响厂商忽略
忽略时间:2014-12-13 10:34
暂无