WooYun.org

最新版

在 http://ie.115.com/site2/static/js/theme.js 里看到 更换皮肤的js代码。

if(isInterface) {
		    	browserInterface.SetThemeFrameImage(themeID, imageURL, thumbURL);
	        }
	        else {
		    	try {
	                chrome.send("SetThemeFrameImage", [themeID, imageURL, thumbURL]);

尝试调用了两个函数
chrome我们是没有权限访问的，但是 browserInterface.SetThemeFrameImage 发现可以外部调用。
两个问题，
一：拒绝服务。
browserInterface.SetThemeFrameImage 对于第二个参数没有做好处理，
当imageURL 不包含http:// 或者 构造一张0字节的图片时， 会导致浏览器奔溃。
例如

browserInterface.SetThemeFrameImage('a','a','a')

二 : xss
仔细研究browserInterface.SetThemeFrameImage(themeID, imageURL, thumbURL)的三个参数，发现 调用此函数时 会在

C:\Users\xxx\AppData\Local\115Chrome\User Data\Default\WebFrameImageCache\

目录下生成 两个文件 [themeID] 和 [themeID]_thumbnail
[themeID]的文件内容 就是imageURL 的内容，可以任意文件下载 但是我没找到执行文件的地方- -，所以就很鸡肋了， 跳过。
[themeID]_thumbnail 包含的是一串url， 内容是 [thumbURL]
在 http://ie.115.com/skin/ 里找到了对 [themeID]_thumbnail的调用
他把 thumbURL 放在了img 标签的src属性里

如果这里可以绕过 双引号的话我们就可以永久的获取*.115.com 的cookie了。
直接插入"号的话 会被过滤， 然而一轮fuzz后 发现

"%22<>"

这样的话。最后那个双引号不会过滤。。不懂程序猿的逻辑- -
弹个cookie。