WooYun.org

从多玩的分站跨起，先回顾下前两次的弹窗办法吧。
站点地址:http://y.duowan.com
弹窗1：
　　第一次的弹窗，比较便于实现，由于漏洞修补，无法截图，大概的说说，多玩有爱类似于一般的微博，有这么几个功能，经过测试，发现几个功能的内容插入中都有过滤，包括用Tamper Data改其他内容，也发现了过滤，由于文字和图片没问题了，就测试下其他的，发现视频功能出要求视频的播放页面，于是我邪恶的随便找了个页面后面加上了"><script>alert(1)</script>，点击保存后发现没有什么情况，然后点击发帖，这时弹了框。

　　紧接着就去测试了音乐这个功能，这个却被过滤了，发现.mp3之后的内容都会被X掉，于是在中间加上，这样可以却无法保存，因为无法播放，于是使用http://”><script>alert(1)</script>@www.xxx.com/xxx.mp3 绕过，成功弹窗。
　　接着就是链接的功能了，链接处测试后是过滤的，但是存在一个预览标题的功能，于是我自己搞了个空间标题上放了个XSS，就这样也弹了。
弹窗2：
　　也不知道为什么，有爱关闭了发帖功能，有点坑爹之外也有点纳闷，不能发帖就完全没办法从发帖处入手xss了，于是纠结得去看了看仅剩不多的功能。
　　

　　基本信息的修改处，有些框，敏感地插了插，发现有两处未过滤，用tamper Data修改后弹框。
　　

　　
　　弹窗3：改弹的地方都弹了，看看其他地方吧，有个修改头像，心里还想着如果能直接传php马儿该有多好，于是。轻轻一瞄就知道不太可能了。
　　

　　抱着试一试的态度我传了个图片上去，点击保存设置，看了看TamperData的包，第二个包和第三个包有些奇异。

　　http://upload.y.duowan.com/photo_upload.do?userAgent=Mozilla/5.0%20%28Windows%20NT%205.1;%20rv:17.0%29%20Gecko/20100101%20Firefox/17.0
　　http://y.duowan.com/person/myphoto_post?photoUrl=http%3A%2F%2Fimg4.y.duowan.com%2F1667137.jpg&_=1358839269545

　　一个有提交HTTP_USER_AGENT，另外一个提交的是Url,两个重放的结果，一个500了，但第二个返回一个json，如图：
　　

　　确定photoUrl可以通过这里控制，果断提交下面内容：
　

　http://y.duowan.com/person/myphoto_post?photoUrl=http://"><img src=%23 onerror=alert(1)>&_=1358839269545
　　

　　弹框。完工。

By:0x0F