1.方法:
网易同学录留言功能存在跨站,这里演示一个利用它把自己加为班级管理员的方法。
在留言框里填写:
![](https://www.cnblogs.com/Images/OutliningIndicators/None.gif)
在留言的贴图url的输入框里填写:
![](https://www.cnblogs.com/Images/OutliningIndicators/None.gif)
管理员察看班级留言时就会把我添加为管理员。
2.原理:
留言框里填写的留言+++和---之间的部分代码解码后如下:
![](https://www.cnblogs.com/Images/OutliningIndicators/ExpandedBlockStart.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/ExpandedSubBlockStart.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/ExpandedSubBlockEnd.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/ExpandedBlockStart.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/InBlock.gif)
![](https://www.cnblogs.com/Images/OutliningIndicators/ExpandedBlockEnd.gif)
漏洞出在贴图url的输入框没有过滤url,我在这里贴一个图,加上个onload事件,只要图片
url有效,图片正常载入就会触发该事件,执行我的onload里的代码,而onload里的代码搜索
我的留言里的代码,进行解码,然后执行。因为图片url的长度有限制,所以我才做这么一次
跳转,把我要做的事情分为两步。
3.最后:
为什么要贴这个没啥技术含量的东西,主要是觉得比较funy,你不觉得这样的利用过程和溢出
跳转执行shellcode有异曲同工的意思,因为有长度限制,所以我们要把shellcode分为几部分,
第一部分跳到第二部分来突破长度的限制,所有漏洞的原理本身就相似。
跨站的利用也可以玩的很有意思,比如"现有html和js上下文的利用,自我隐藏,脚本变形,
突破长度限制,跨站漏洞蠕虫等等",抛个砖头在这里等大家的玉。