当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0156430

漏洞标题:从一个“无标题”邮件到QQ邮箱服务器文件下载(运行日志、附件等)

相关厂商:腾讯

漏洞作者: gainover

提交时间:2015-11-27 19:19

修复时间:2016-01-14 10:46

公开时间:2016-01-14 10:46

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-27: 细节已通知厂商并且等待厂商处理中
2015-11-30: 厂商已经确认,细节仅向厂商公开
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

前些天使用QQ邮箱,看见有一朋友快过生日的提醒,于是给自己发了一个贺卡,结果不知道是哪里误操作,导致自己收到了一封“无标题”也无“发件人”的邮件,接着,就开始了下面的旅程。

详细说明:

1. 首先,是我的误操作,导致发送了一个“无标题”也没有发件人的“贺卡”。看来是QQ邮箱后端处理出现问题了,正好当时开着抓包软件,就开始分析了。
今天已经无法重新这个发“无标题”邮件的操作了,结合后文所述,应该是被修复了。
还好我留了一封,截图做纪念:

1.jpg


2. 为了找到导致这个BUG的原因,我先将邮件正文替换为aaaa,发现邮件恢复正常,于是局部删除邮件内容,
最后删除到只剩下以下内容时,出现了奇怪的情况。

/cgi-bin/viewfile?f=13233D0948115D858519BF93BD54FF886202F13BF853330C64A28B5A1AF42AA3BBA42274B655A284D586A6E0A6F8E89A52EB57A9F990FED871606D2C2EA2B9B679646DF7AC74F0AF50FE438B43BA3FD12FD061B11B1B92BEE0AD80C1EC0B5BF38F7D0367D413E52C76E676B9EBBFD13C&sid=3"


收到的邮件内容,竟然是下面这个:

2.png


我了个去,这是爆路径了么?
3. 继续测试,看看这里是怎么回事,在f参数末尾再加一些AAAAAA:

/cgi-bin/viewfile?f=13233D0948115D858519BF93BD54FF886202F13BF853330C64A28B5A1AF42AA3BBA42274B655A284D586A6E0A6F8E89A52EB57A9F990FED871606D2C2EA2B9B679646DF7AC74F0AF50FE438B43BA3FD12FD061B11B1B92BEE0AD80C1EC0B5BF38F7D0367D413E52C76E676B9EBBFD13CAAAAAAAAAAAA&sid=3"


返回的内容变成了下面的(没有截图了)
/data//80/QQ号码/groupattach/postcard201511231423453JSakETkjg1fBARS.jp乱码乱码乱码"
4. 经过分析得知,这里的 f参数的内容13233D0948115D858519BF93BD54FF886202F13BF853330C64A28B5A1AF42AA3BBA42274B655A284D586A6E0A6F8E89A52EB57A9F990FED871606D2C2EA2B9B679646DF7AC74F0AF50FE438B43BA3FD12FD061B11B1B92BEE0AD80C1EC0B5BF38F7D0367D413E52C76E676B9EBBFD13C 就是/data//80/QQ号码/groupattach/postcard201511231423453JSakETkjg1fBARS.jpg 加密后的内容,
当我们把末尾加上AAAAAAAA后,服务器会认为AAAA也是程序的路径,于是也进行解密,从而得到乱码。
传入更长的AAAAA之后,可以发现,每16个A被解码为8个字符,反之,就是每8个字符为一组进行加密,得到一个16字符的大写字符串,推测可能是ECB模式的DES加密。
---------------------------------------------------------
5. 如果我们可以得到 ../../../../../../../etc/passwd 的加密串,那么是不是可以通过viewfile接口下载 passwd文件了呢?
然而,虽然我们可以得到一些密文与明文,但是是不大可能破解这个算法的。
我们是否可以找到一些接口,传入一些明文内容,来得到正向的加密串呢?
有意思的是,发现这个问题的同时,我还发现了另外一个“看起来并没有什么用的”链接。

3.png


6. 看到链接里那么一长串大写字符串时,我就想啊,这个会不会也是同一个加密算法加密的,于是发一封邮件试一试。
/cgi-bin/viewfile?f=B7F3991201E485FEEE27031F724A14F8B779A0FC4F5792143CB767E2EF4B3DA3BFDB6E7B65D642E9CF5D037A1ADE3492&sid=3"
上面链接里的一长串就是链接里的一长串,
结果发现,果然被成功解密了。

4.png


7. 可以看到,B7F3991201E485FEEE27031F724A14F8B779A0FC4F5792143CB767E2EF4B3DA3BFDB6E7B65D642E9CF5D037A1ADE3492 解密后的内容的串是由3部分组成:
QQ号码 & 收件人@126.com; &postcard&1448280990
QQ号码是发信人的,不能改,否则不能正常发送,
收件人这里,我们是否可控呢?
于是进行以下尝试,

5.png


将一个收件人设置为正常邮箱,另外收件人的邮箱设置为我们所需的路径字符串。
并且,由于加密是每8个字符进行的,我们需要按照以下的方式来构造收件人:

6.png


构造好发件人之后,我们还需要在邮件内容里加上 #{direct_sendcard_url}#,服务器端会将这个指令,替换为 包含收件人加密串的URL,

111.jpg


最终测试成功,我们可以成功得到加密后的串。

B7F3991201E485FE2E0014A1553847D07F72928DCFE6A4ECB36E568D8400A4F5B44F4E6E5CB0A4CCBB0CC8200C8C6CEF6367DC612E4BC3B45E8CA3F8B72B32AF702E95FFDCCC8DE300DA7994E641E46D1FA319F6424BF6D8


8. 去掉前面的64个字符,因为前面64个字符是 “QQ号码&收件人1号@126.com;//”的加密内容,
去掉末尾的64个字符,末尾的64个字符是“@163.com;&postcard&1448280990”的加密内容,
于是,得到:
B44F4E6E5CB0A4CCBB0CC8200C8C6CEF6367DC612E4BC3B4
我们访问:
https://set2.mail.qq.com/cgi-bin/viewfile?f=B44F4E6E5CB0A4CCBB0CC8200C8C6CEF6367DC612E4BC3B4&mailid=ZL3127-3JRtOe0Vqil%7EZmYwRRSAB5b&sid=XXXXXXXXXX【SID】XXXXXX&net=931323402

7.png


9. 既然可以读/etc/passwd,那么我们是否可以读到其它的, 于是,我们还尝试读取了 /home/qspace/.bash_history,然而并不存在,试了好几次,都不存在。
10. 经过测试,我们又发现 rsyncd.conf 也存在,并且里面存在WEB路径。

8.png


11. 可激动了。。马上就去试,看看 /home/qspace/QQMail/WEB目录/cgi-bin/是否存在,然而并不存在。。。
继续测试,发现/home/qspace/QQMail也不存在。。。
奇怪了。
纠结了许久,发现, 前述的接口,发件人的地方,会进行一次小写的转换,然后再加密,也就是说,我们最终得到的是 /home/qspace/qqmail 而非 /home/qspace/QQMail
12. 然后呢,我就继续找其它接口,寄希望于找到一个接口,可以得到允许大写的路径,弄了2天,并没有找到什么,即使中间找到了一个点,可以生成任意文件名的加密串,与上一个接口不同的是,这个接口是文件名,所以不能包含 / ,但是由于QQMail是6个长度,我们即使得到QQMail的加密串,实际上得到的是 QQMail+2个padding的加密内容,当我们想访问
/home/qspace/QQMail/WEB目录的时候,其实我们只能得到
/home/qspace/QQMail【2个0x03的padding】/WEB目录 的加密串,这样并不能访问。
13. 今天准备放弃了,就用找到的接口做最后的挣扎,
首先,用收集的已知信息和linux下的常用文件名,路径名之类的准备一个小字典,只有130多条左右。

9.png


然后写了一个JS脚本,挨个测试 /home/qspace/字典内容 是否存在,
前面好像并没有发现什么信息,但是直到最后一条的时候,。。。。
/home/qspace/.bash_history 竟然奇迹般存在了,马上下载内容回来看看。

1.png


14. - -,然后呢,看到了奇葩的一幕,这个管理员登录到服务器后,首先查看了服务器日志,在日志里查看IP为10.222.*(这台Mail的IP段)的记录,接着又开始看错误日志,并且grep了一个QQ号码。。。并且这个QQ号码,就是我测试用的小号!!!!

10.png


后面还有其它的命令也在grep我的小号。
15. 我推测,应该是我前些天的测试,导致QQ邮箱后端出现了某些BUG?
然后服务器管理员上来找原因来了?
然后,就留下了.bash_history
16. 他这么一看,显然就把日志的目录、文件名信息全部暴露给我了。
于是下载了一个运行日志,和一个错误日志(部分)
/home/qspace/log/********112715.log
/home/qspace/log/error/********112715.log
这里面存在一些信息,比如:
他人的cookie信息,服务器重要配置文件的路径,他人的附件路径等。
比如我自己测试小号的cookie就在其中,

11.png


17. 里面还会存在一些他人的附件路径,这些附件路径中也存在大写字母,那么我们是否可以下载别人的附件呢?
比如路径是这样的:
/home/qspace/data/webmailcache//179/他人QQ号码/ZL2303-ROarGPbI~DmvW2o_GOA4I57_Attach/babd406fadb5fc53f2e8e595cddb27e0
和上面说的QQMail有点不一样的地方是,我们可以将路径分为3个部分加密:
/home/qspace/data/webmailcache//179/他人QQ号码/ <--全部小写可以得到
ZL2303-ROarGPbI~DmvW2o_GOA4I57_A <-- 虽然包含大写,但是32个字符,8的整数倍,可以通过另外一个文件名的接口来加密获得。
ttach/babd406fadb5fc53f2e8e595cddb27e0 <--全部小写可以得到,
最终,我们可以得到3个加密串,然后拼接在一起。

6529F33AD830402BFB0DF3A711FE868689A7790DD41F8F365B6F15F348D2FBE28548F1183CB3766F1AB41D9FFA578C17FAFDE1B79BE66A492945A1D63EF0A2515B4B7799C164183BBF4D7380C5275D617E03ED2088CAE432C93B82E82F3FCC3F78FEC605301CACC1960BB628A8C55123D6A0E41DFBBD1D0495E3DEE452E92EFB0FCB23BFDEEE2744


用viewfile访问:

2.png


最后可以看到,这个人的附件是一张图片,是一个可爱的小狗。

adsada.png


18. 最终,我们还是没能够拿到cgi的内容,不过过程还是挺有意思的。

漏洞证明:

如上。

修复方案:

1. 整个过程是在发自定义明信片的时候测试的,
具体请求为:https://set2.mail.qq.com/cgi-bin/compose_send?sid=
参数如下图所示:

12.png


这个是会意外解密出路径的明文的BUG的位置,此外bcc处的收件人允许 ../../之类的
2. 泄漏明文加密的是在上述请求里添加 #{direct_sendcard_url}#,
3. viewfile 这里解密后的路径,过滤 ../ 之流,防止跨目录读取。
4. 文章还提到一处可以获取明文加密串的请求是:
https://set2.mail.qq.com/cgi-bin/bottle_opr
自行考虑对文件名参数进行判断。

版权声明:转载请注明来源 gainover@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-11-30 10:44

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-11-30 10:44 | fuckadmin ( 普通白帽子 | Rank:605 漏洞数:85 | 千里之堤溃于蚁穴)

    必火

  2. 2015-11-30 10:45 | ( 路人 | Rank:17 漏洞数:2 | )

    前排留名

  3. 2015-11-30 10:45 | wps2015 ( 普通白帽子 | Rank:568 漏洞数:74 | 不叫一日荒废)

    前排

  4. 2015-11-30 10:47 | prolog ( 普通白帽子 | Rank:580 漏洞数:111 | Rank:8888 漏洞数:1024 | 低调求发展)

    6666666

  5. 2015-11-30 10:47 | 小川 认证白帽子 ( 核心白帽子 | Rank:1436 漏洞数:222 | 一个致力要将乌云变成搞笑论坛的男人)

    这细节.....屌啊

  6. 2015-11-30 10:49 | 我的邻居王婆婆 ( 普通白帽子 | Rank:2426 漏洞数:418 | 最近我在追 美丽的秘密 这部电视剧)

    原来是这样利用.....帅啊

  7. 2015-11-30 10:49 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    打雷要下雨雷欧

  8. 2015-11-30 10:51 | hkAssassin ( 普通白帽子 | Rank:377 漏洞数:70 | 我是一只毛毛虫。)

    666666666

  9. 2015-11-30 10:51 | 伟大娃娃 ( 普通白帽子 | Rank:130 漏洞数:10 | 改变世界)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡

  10. 2015-11-30 10:51 | Submit ( 普通白帽子 | Rank:514 漏洞数:114 | 卖WB)

    于是有了下面的节操

  11. 2015-11-30 10:53 | boooooom 认证白帽子 ( 普通白帽子 | Rank:473 漏洞数:51 | 我有一个好想法!)

    真是屌到爆。

  12. 2015-11-30 10:54 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡

  13. 2015-11-30 10:58 | 小龙 ( 普通白帽子 | Rank:1369 漏洞数:336 | 乌云有着这么一群人,在乌云学技术,去某数...)

    看了下,第三步用ve改成了别人的号码的思路挺不错的,值得借鉴:)

  14. 2015-11-30 10:59 | oneplusone ( 路人 | Rank:18 漏洞数:12 | 三十功名尘与土,八千里路云和月。莫等闲、...)

    打雷了 刮风了 要下雨了 回家收衣服

  15. 2015-11-30 10:59 | 浮世浮城 ( 普通白帽子 | Rank:778 漏洞数:145 | 我存于这俗世烟火的浮世,我爱这时光倒影的...)

    原来是这样操作的

  16. 2015-11-30 11:00 | 二愣子 ( 普通白帽子 | Rank:177 漏洞数:38 | 毛毛你是个好姑娘)

    卖瓜子!花生!充电宝,不买的把脚挪一挪

  17. 2015-11-30 11:00 | Taro ( 普通白帽子 | Rank:194 漏洞数:51 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    打雷了,要下雨了,快回家收衣服啊

  18. 2015-11-30 11:02 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    说的好像你们能看到一样!

  19. 2015-11-30 11:04 | Xw-Nothingness ( 路人 | Rank:4 漏洞数:3 | 虚无公会)

    静等公开

  20. 2015-11-30 11:05 | 我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)

    这过程简直so beautiful

  21. 2015-11-30 11:08 | 随风的风 ( 普通白帽子 | Rank:188 漏洞数:63 | 微信公众号:233sec 不定期分享各种漏洞思...)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡

  22. 2015-11-30 11:12 | 香草 ( 实习白帽子 | Rank:99 漏洞数:14 | javascript,xss,jsp、aspx)

    二哥那天给我讲的时候,整个过程太精彩了,又是一个经典案例

  23. 2015-11-30 11:12 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    又损失一枚漏洞

  24. 2015-11-30 11:14 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 哈!躁起来!)

    @only_guest @香草 快送我几枚漏洞

  25. 2015-11-30 11:19 | hecate ( 普通白帽子 | Rank:691 漏洞数:103 | ®高级安全工程师 | WooYun认证√)

    任意文件下载?

  26. 2015-11-30 11:20 | 奋斗的阿呆 ( 普通白帽子 | Rank:151 漏洞数:31 | 一二三,不许动!)

    看了两遍终于看懂了

  27. 2015-11-30 11:24 | 我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)

    @奋斗的阿呆 我看了5遍 还没看懂

  28. 2015-11-30 11:33 | 随缘 ( 路人 | Rank:6 漏洞数:2 | 宁缺毋滥。)

    我悄悄地蒙上你的眼睛猜猜我是谁

  29. 2015-11-30 11:40 | 我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)

    @随缘 小偷

  30. 2015-11-30 11:58 | px1624 ( 普通白帽子 | Rank:1072 漏洞数:180 | px1624)

    30个闪电了~

  31. 2015-11-30 12:02 | 腰上有胸器 ( 路人 | Rank:11 漏洞数:5 | 一根带刺的黄瓜和一个女人的故事。)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡

  32. 2015-11-30 12:03 | 一只猿 ( 普通白帽子 | Rank:509 漏洞数:92 | 硬件与无线通信研究方向)

    666

  33. 2015-11-30 12:11 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    擦,

  34. 2015-11-30 12:25 | SH0X8001 ( 路人 | Rank:15 漏洞数:3 | 你猜)

  35. 2015-11-30 12:26 | 小白鼠 ( 路人 | Rank:1 漏洞数:1 | 小呀小呀小白鼠)

    碉堡了

  36. 2015-11-30 12:31 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    好厉害~

  37. 2015-11-30 12:32 | 风格 ( 实习白帽子 | Rank:37 漏洞数:12 | 注册为白帽子,你可以在这里提交你发现的漏...)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡.这是关键一步

  38. 2015-11-30 12:33 | 坏男孩-A_A ( 路人 | Rank:18 漏洞数:7 | 菜鸟一枚)

    这是火了....

  39. 2015-11-30 12:37 | 梧桐树下 ( 普通白帽子 | Rank:485 漏洞数:82 | 一大波洞正在过来……)

    脑洞大开……

  40. 2015-11-30 12:42 | 侦探911 ( 普通白帽子 | Rank:162 漏洞数:26 | 学习)

    卧槽...太牛逼了

  41. 2015-11-30 12:56 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    看见有一朋友快过生日的提醒,于是给自己发了一个贺卡

  42. 2015-11-30 13:09 | Suner ( 路人 | Rank:21 漏洞数:2 | 再读小学生)

    终于知道为什么我们没有发现,因为我们没有在朋友过生日的时候给自己发过邮件。

  43. 2015-11-30 13:17 | Ysql404 ( 普通白帽子 | Rank:327 漏洞数:66 | 碧海情天)

    太叼了

  44. 2015-11-30 13:26 | lxj616 ( 普通白帽子 | Rank:438 漏洞数:90 | <hohoho>)

    当我看到标题后,直接意识到作者必是二哥,然后果然不出所料

  45. 2015-11-30 13:34 | Masters ( 路人 | Rank:14 漏洞数:7 | 爱情到了尽头,放屁都是分手的理由)

    我只是来看热闹的

  46. 2015-11-30 13:52 | roker ( 普通白帽子 | Rank:372 漏洞数:109 )

    思路好赞,看了两遍终于看懂了

  47. 2015-11-30 14:18 | 0x_Jin ( 普通白帽子 | Rank:319 漏洞数:37 | 微博:http://weibo.com/J1n9999)

    腾讯跟无声有仇么....

  48. 2015-11-30 14:18 | 小威 ( 普通白帽子 | Rank:511 漏洞数:82 | 活到老,学到老!)

    思路确实叼到不行啊,啊D竟然也能这样用,涨姿势了!

  49. 2015-11-30 14:31 | px1624 ( 普通白帽子 | Rank:1072 漏洞数:180 | px1624)

    @小威 @roker @我的媳妇儿胸太小 一个个装逼吧,搞的好像真的能看到的样子。

  50. 2015-11-30 14:43 | 齐迹 ( 普通白帽子 | Rank:784 漏洞数:100 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    没搞懂楼上的为什么要看这么多遍才能懂!

  51. 2015-11-30 14:46 | GrayTrack ( 实习白帽子 | Rank:88 漏洞数:19 | TXTSEC信息安全团队)

    @roker 说的好像你们能看到详情似的

  52. 2015-11-30 14:53 | 泪雨无魂 ( 普通白帽子 | Rank:195 漏洞数:50 )

    6666

  53. 2015-11-30 15:03 | Submit ( 普通白帽子 | Rank:514 漏洞数:114 | 卖WB)

    只有聪明的人才能看得到

  54. 2015-11-30 15:17 | 我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)

    @px1624 握有越权查看漏洞详情oday

  55. 2015-11-30 15:27 | 随缘 ( 路人 | Rank:6 漏洞数:2 | 宁缺毋滥。)

    @我的媳妇儿胸太小 ????why

  56. 2015-11-30 15:41 | 小威 ( 普通白帽子 | Rank:511 漏洞数:82 | 活到老,学到老!)

    @我的媳妇儿胸太小 你媳妇知道你乌云帐号么?

  57. 2015-11-30 15:46 | 丶Soim ( 路人 | Rank:0 漏洞数:1 | 一只正在学飞的小菜鸟。)

    @小威 @我媳妇儿胸太小 我猜不知道。

  58. 2015-11-30 15:50 | Mark0smith ( 实习白帽子 | Rank:99 漏洞数:36 )

    6666

  59. 2015-11-30 16:39 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    咳咳咳,我要说真相了,下面的摆好小板凳.....

  60. 2015-11-30 17:01 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    。。。。。。

  61. 2015-11-30 17:12 | Q1NG ( 普通白帽子 | Rank:111 漏洞数:21 | 临 兵 斗 者 皆 阵 列 前 行 !)

    板凳都被抢完了!......

  62. 2015-11-30 17:12 | 大亮 ( 普通白帽子 | Rank:333 漏洞数:67 | 慢慢挖洞)

    好厉害~

  63. 2015-11-30 17:18 | 我的媳妇儿胸太小 ( 路人 | Rank:12 漏洞数:4 | Rank:681 漏洞数:37 | 我喜欢御姐)

    @小威 @丶Soim @随缘 心好累

  64. 2015-11-30 18:06 | Msyb ( 实习白帽子 | Rank:40 漏洞数:10 | 非常荣幸加入乌云。)

    第233个关注233333

  65. 2015-11-30 18:33 | zhxs ( 实习白帽子 | Rank:65 漏洞数:25 | 不是你不行、只是路不平ฏ๎๎๎๎๎๎๎๎...)

    厂商已经确认,细节仅向厂商公开 你们是怎么看到的???求见识

  66. 2015-11-30 18:46 | f4ckbaidu ( 普通白帽子 | Rank:223 漏洞数:28 | 开发真是日了狗了)

    66666

  67. 2015-11-30 19:52 | ’‘Nome ( 实习白帽子 | Rank:63 漏洞数:21 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    mark

  68. 2015-11-30 22:06 | 金馆长 ( 路人 | Rank:4 漏洞数:2 | Up)

    思路确实叼到不行啊,啊D竟然也能这样用,涨姿势了!

  69. 2015-11-30 22:46 | 伏地魔 ( 实习白帽子 | Rank:34 漏洞数:7 )

    为什么我也能看到漏洞细节?看了两遍才看懂,思路太好了!

  70. 2015-11-30 22:48 | 桃花侠 ( 路人 | Rank:2 漏洞数:1 | 啦啦啦啦~)

    为什么我也能看到漏洞细节?看了两遍才看懂,思路太好了!

  71. 2015-11-30 23:10 | jeary ( 普通白帽子 | Rank:336 漏洞数:117 | (:‮.kcaH eb nac gnihtynA))

    任意下载文件都能这么挖,叼。

  72. 2015-11-30 23:52 | 陆由乙 ( 普通白帽子 | Rank:287 漏洞数:70 | 呵呵!)

    666

  73. 2015-11-30 23:58 | 萧其 ( 路人 | Rank:12 漏洞数:3 | 额)

    mark+666666

  74. 2015-12-01 21:54 | socket ( 路人 | Rank:24 漏洞数:7 | 我是来学习的,请多多指教咯)

    @桃花侠 。真的么。。。

  75. 2015-12-02 14:40 | 桃花侠 ( 路人 | Rank:2 漏洞数:1 | 啦啦啦啦~)

    @socket 难道你看不了么? 哈哈哈

  76. 2015-12-03 15:34 | MrFk ( 路人 | Rank:4 漏洞数:2 | 蒻蒟)

    太强了这个

  77. 2015-12-07 22:01 | 娃哈哈 ( 实习白帽子 | Rank:39 漏洞数:7 | 伟大的科学家)

    看了两遍才看懂,思路太好了!

  78. 2015-12-10 09:15 | 沦沦 ( 普通白帽子 | Rank:604 漏洞数:140 | 爱老婆,爱生活)

    静等公开,我是静静

  79. 2015-12-13 14:49 | 小福仔 ( 路人 | Rank:12 漏洞数:3 )

    66666.太牛逼了

  80. 2015-12-30 23:14 | niexinming ( 普通白帽子 | Rank:156 漏洞数:30 | 好好学习,天天日站)

    太尼玛牛逼了,膜拜

  81. 2015-12-31 00:35 | px1624 ( 普通白帽子 | Rank:1072 漏洞数:180 | px1624)

    已跪!

  82. 2015-12-31 08:56 | Whysec ( 路人 | Rank:20 漏洞数:7 )

    6666666666666666

  83. 2015-12-31 09:41 | 0x334 ( 普通白帽子 | Rank:179 漏洞数:38 | 漏洞无影响,已忽略~~~~~~~)

    2哥,睡我,我已躺下

  84. 2015-12-31 09:51 | range ( 普通白帽子 | Rank:160 漏洞数:35 | 这个人有点懒,没有写个人简介)

    精彩!

  85. 2015-12-31 11:58 | 3King ( 普通白帽子 | Rank:1139 漏洞数:94 | 【study at HNUST】非常感谢大家的关注~ 大...)

    技术与运气完美结合的经典案例

  86. 2016-01-04 12:35 | Ton7BrEak ( 普通白帽子 | Rank:237 漏洞数:48 | 吃苦耐劳,我只会第一个!)

    这个思路太叼了!

  87. 2016-01-04 15:04 | 进击的zjx ( 普通白帽子 | Rank:1416 漏洞数:178 | 1000rank目标达成!撒花……)

    必须点赞!

  88. 2016-01-04 16:48 | luwikes ( 普通白帽子 | Rank:532 漏洞数:79 | 潜心学习~~~)

    看到末尾,才突然发现,已经在不知不觉中为二哥的思路跪下了

  89. 2016-01-05 12:32 | pandas ( 普通白帽子 | Rank:654 漏洞数:73 | 国家一级保护动物)

    精彩!

  90. 2016-01-14 10:50 | 暴走 ( 普通白帽子 | Rank:318 漏洞数:65 | Wooyun的Rank获取如同Dota冲天梯有过之而无...)

    过程详细,逻辑清楚,NICE!