从多玩的分站跨起,先回顾下前两次的弹窗办法吧。
站点地址:http://y.duowan测试数据 弹窗1: 第一次的弹窗,比较便于实现,由于 漏洞 修补,无法截图,大概的说说,多玩有爱类似于一般的微博,有这么几个功能,经过测试,发现几个功能的内容插入中都有过滤,包括用Tamper Data改其他内容,也发现了过滤,由于文字和图片没问题了,就测试下其他的,发现视频功能出要求视频的播放页面,于是我邪恶的随便找了个页面后面加上了]><script>alert(1)</script>,点击保存后发现没有什么情况,然后点击发帖,这时弹了框。 紧接着就去测试了音乐这个功能,这个却被过滤了,发现.mp3之后的内容都会被X掉,于是在中间加上,这样可以却无法保存,因为无法播放,于是使用http://]><script>alert(1)</script>@HdhCmsTestxxx测试数据/xxx.mp3 绕过,成功弹窗。 接着就是链接的功能了,链接处测试后是过滤的,但是存在一个预览标题的功能,于是我自己搞了个空间标题上放了个XSS,就这样也弹了。
弹窗2: 也不知道为什么,有爱关闭了发帖功能,有点坑爹之外也有点纳闷,不能发帖就完全没办法从发帖处入手xss了,于是纠结得去看了看仅剩不多的功能。 基本信息的修改处,有些框,敏感地插了插,发现有两处未过滤,用tamper Data修改后弹框。
弹窗3:改弹的地方都弹了,看看其他地方吧,有个修改头像,心里还想着如果能直接传php马儿该有多好,于是。轻轻一瞄就知道不太可能了。 抱着试一试的态度我传了个图片上去,点击保存设置,看了看TamperData的包,第二个包和第三个包有些奇异。
http://upload.y.duowan测试数据/photo_upload.do?userAgent=Mozilla/5.0%20%28Windows%20NT%205.1;%20rv:17.0%29%20Gecko/20100101%20Firefox/17.0 http://y.duowan测试数据/person/myphoto_post?photoUrl=http%3A%2F%2Fimg4.y.duowan测试数据%2F1667137.jpg&_=1358839269545一个有提交HTTP_USER_AGENT,另外一个提交的是Url,两个重放的结果,一个500了,但第二个返回一个json,如图: 确定photoUrl可以通过这里控制,果断提交下面内容:
http://y.duowan测试数据/person/myphoto_post?photoUrl=http://"><img src=%23 onerror=alert(1)>&_=1358839269545弹框。完工。
查看更多关于有趣的多玩跨站 - 网站安全 - 自学php的详细内容...