WooYun.org

1. QQ秀是由FLASH来编写的

2. 以前的QQ秀提供了一个叫做心情秀的功能

3. 心情秀可以在Q秀上显示一段自定义文字，还可以改变文字颜色，这及有可能是在TextField中来显示的，并且这个TextField支持htmlText，那么是否可以插入一个img标签呢？

如上图所示，可以发现并不能输入特殊字符？
4. 然而，似乎只是在客户端做了过滤而已。。我们抓包看看。

5. 数据被huffcompress算法压缩了，给JS代码下断点，然后修改原始的Q秀数据，提交，

可以看到不论是客户端，还是WEB页面，都成功渲染了我们所填写的HTML代码。
6. 接着，我们得试试被img标签嵌入的FLASH是否可以执行恶意代码呢？经测试AS2编写的FLASH才能成功执行，说明父级FLASH为AS2编写。

7. getURL试试。

成功打开pkav.net
8. 然后。。

9. 那么有哪些可以被用来调用的API呢？找到Q秀的主FLASH文件。

10. 看到了有意思的API，是吧？执行个calc试试？

11. 似乎还缺点什么

12. 继续反编译另外一个Q秀的FLASH，看名字似乎胜利就在眼前。

13. 分析一下这个函数的作用～

14. 尝试调用一下这个download API。

成功下载了一个文件，但是文件内容却不对。。Why ?
抓包找一下原因。

看来客户端实现的代码大概是这样（伪代码）：

15. 怎么办呢？团队的@sogili（长短短）同学提出的一个可能的解决方案，换行试试？

16. 下载回的数据还是不对？继续抓包：

似乎所有的\r都不见了。。。
17.为什么呢？

上面是ExternalInterface.call的实际过程，推测“\r\n”可能是在拼接成XML数据之后被“格式化”为“标准”的 “\n”。

18. 为了避免这种情况，把\r\n改写成entity的形式，


可是，参数在处理过程中，&会进行一次转义处理，依然不行。
19. 是不是没办法了呢？我们把视线切换到 functionName，函数名未做任何过滤措施。

20. 然后，我们闭合并构造XML。

21. OK，这次我们的请求成功了。

22. 到了这里，我们可以修改请求的host了，但是IP我们肯定没办法改掉了。
我们找找看这个IP对应了多少域名

23. 接着，我们的目标就是在这些域名下找到我们可以控制的资源。

24. 最终，我们在b.qzone.qq.com下找到一个可以用来做bat的接口，注意值的双引号边界。

这个接口在登录情况下，是需要csrftoken的，但是在未登录情况下访问，不需要token就可以直接返回数据，所以我们构造请求头时，并不需要带入cookie等信息。
25. 最终：download API下载JSON为bat，在QQ默认安装情况下，下载文件的路径已知，openURL API指定程序路径进行执行。