WooYun.org

腾讯社交APP 名为“同学我来了”
粗略的看了下软件功能界面，很简洁，第六感提醒我，有戏
习惯性的就输入了xss，由于之前卸载了APP没有了之前的聊天记录，没有详细的了。

大概过了半小时左右QQ上就收到了一封Cookies，没错，就是同学我来了的Cookies，马上就把手游退了，开始深入挖掘，没想到之前随手一插就中标了，正所谓，运气也是成功的因素之一！
收到cookies之后马上进HTTP_REFERER地址去看详情，发现通过浏览器打开时触发xss，而在客户端上是不会触发xss的，通过后期发现，该xss只会在IOS以及web浏览器触发，可以直接打到用户的cookies，该app登陆方式有QQ以及微信登陆，如果是QQ登陆那么就打到QQ的cookies，微信登陆就打微信的cokies，那么发现现在客户端存在xss，但是只能打到APP用户的Cookies，远远没达到我的要求，怎么办呢，继续往下挖！
聊天室存在XSS，那么肯定不止一个地方有xss，而且完全没过滤，那就好办了，自己去创建一个聊天室去测试就好了。

之前我看到聊天室有投票功能，而前段时间我又在QQ客户端群投票发现投票功能有xss，那么这个断然也好不到那里去，不墨迹，直接创建聊天室，在名称插入xss看结果，前面我已经说到了，安卓客户端是不会触发xss的，聊天室管理里面有邀请功能，我们直接点邀请QQ好友，就可以提出http地址了，打开，还是那个熟悉的味道，我们可爱的小弹窗~

既然到了这一步，我们就可以直接测试打cookies了，而我在测试的途中遇到了个问题，就是只能在微信客户端打开，而我自己的QQ却可以直接打开该网站，随后直接上大杀器，抓包分析，发现打开该地址的途中会自己post一个包去登陆igame.qq.com腾讯的游戏人生，随后小号测试，先登陆igame.qq.com后，在打开
http://igame.qq.com/pmdcampus/wx-app/order-detail.php?uid=0EEF79D800EDDB9ED27F6552FABB7F2C55A5E4DFD68C675B&ctime=1458560346就不出出现提醒请在微信客户端打开该链接了。
明白原理之后，就xss地址发送给了一位QQ好友，首先诱惑其登陆了igame.qq.com，然后将xss地址发送给他打开，平台收到cookies，

其中包含SKEY，接下来就突破了一下SKEY

进入对方的QQ会员中心，QQ秀，好莱坞，QQ音乐等一系列QQ业务
总结：下载同学我来了APP，使用QQ登陆，创建一个聊天室，名称插入xss，邀请好友，提取出xss地址即可，可打微信 QQcookies，微信上直接打开就打到微信的cookies，想打qq的cookies的话，得先在igame.qq.com登陆才行，否则打不开。