文章来自团队成员-子杰

文章想要火,标题一定要长,要吸引人~

大家好,我是子杰,团队里面人都叫我XSS小王子。又是一个愉快的一天,前几天看了有一篇关于QQ邮箱的Self-XSS的文章,发现这个洞跟我之前挖的某个洞漏源头是一样的,所以也发出来分享一下。

事情是这样的,某日月黑风高,我正在被窝里面辛勤学习,正浏览在知识的海洋,一个CSDN的付费文件引起了我的兴趣。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

奈何没有积分,故想到了某宝,在某宝上买了个CSDN文件代下载,然后点开QQ邮箱等卖家发货,看到自己昵称中的特殊字符变这样了,What?说好的个性独特的?怎么显示了这个鬼?这昵称的地方不会有鬼吧!嘿嘿嘿。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

点开个人信息,就想试试XSS,就想放个<img>看看会怎么样。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog
《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

竟然插进去了,我天,我还是个孩子啊。既然已经有错,那就尝试弹个窗吧,尝试弹窗发现有字符长度限制。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

哼,还好我小时候花了15块钱学了绝世武功,BurpSuite大法好,上BurpSuite抓到如下数据包进行尝试改包。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

尝试<img/src=x onerror=alert()> 发现有WAF,弹窗插不进去啊,这不是欺负小孩嘛!我会就此放弃?不,有很多妹子说我是个好人。一个优秀的人怎么能轻易放弃呢。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

我还是慢慢调试吧,直接上传张图片试试,修改成功,我就说嘛,好人一生平安,还是有机会的。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

看看页面

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

果然插进去了,插进去了图片,有WAF插不进去弹窗,你以为这就结束了?不!这只是个开始!

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

虽然有WAF,但是我是不会放弃的,然后去写信的地方疯狂的测试。然后就发现了一个牛(消音)的地方,非常的奇怪,困扰着我,脑容量不足,至今仍在困扰着我,好奇~

情况是这样的,我在写信功能的发件人处发现了猫腻儿。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

发件人处点击修改,可以修改发件人而且还没有过滤,话不多说,插~

修改为:<img/src=x onerror=alert(document.cookie)>

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

好玩的事就出现了,让我好奇的事也出现了,猜不出逻辑。大家来找茬这张图和上一张图有什么不同?没错,这游戏真的不花钱,上线就送+15的绿毒裁决,爆率无上限,装备爆的爽,装备还能回收,元宝赚不停~呸!嘴瓢了,没错,眼尖的你一定看到了,我的昵称也跟着变了,搞不懂,我修改个发信人,为啥这个功能把我邮箱名字都给变了,怀念我个性的名字三分钟。先自己给自己发一封,同步一下改过后的昵称。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

然后再去看账户,果然被修改了,绕过了那个位置被过滤的安全策略。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog
《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

也顺便弹了个窗,嘿嘿,小手一抖,Self-XSS到手,赶紧SRC看看

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

完犊子,不在接受范围啊,(实话说一开始我也没打算平台会收,像毛不易之前说过的一句话,这比赛我要是能赢,这比赛得多垃圾。)继续搞搞吧。没准这个Self-XSS良心发现呢,继续攻坚,怎么让别人也能弹!

天无绝人之路之路(运气好),我发现了邮件可以添加个性签名,在设置-常规-个性签名处启用个性签名,话不多说试试~

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

个性签名这个东西,个性嘛,记得我的个性签名是”莪喓霸占┱妳的美~~”,怀念我青葱的岁月。回归正题,发邮件可以带着资料卡一起发给其他账号。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

收到如下邮件,我一顿乱点啊~

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

当点击头像时触发XSS漏洞

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog
《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

不得了不得了,这回应该在接受范围内了吧~小手一抖,安全币到手。
你以为到这就结束了吗?NONO,还有一个触发点,不过这个没赚成钱,在提交上个漏洞后我又在另外一个地方找到了漏洞触发点,何苦当时在家抢口罩,就没来得及提交。没想到前两天买口罩缺了点钱准备提交时竟然发现被修复了,但是还是发出来当时的漏洞功能点分享一下吧~

在QQ邮箱的通讯录功能处

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

选中那个昵称为xss的用户,点击编辑

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

打开后也会触发存储型XSS

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

我恨啊,我想着等等,没想到就再也没等到,就像那年我想买比特币,几千人民币的时候我想着再跌跌我就买几...就买0点几个,没曾想,后来一度破了9000美元。这个事情教会了我一个道理,碰到舍不得的人就要抓紧去挽回。此时@一个深陷感情困扰的女性好友。

总结一下,XSS就是这样,两个方向,一种是绕过滤,一种是找触发。多一点耐心,多换点思路,就啥都有了。

欢乐的时光总是短暂的,又到了。。。。开启另一段欢乐时光的时候了,你以为这就结束了?NONO,不再搞点东西,我怎么能叫XSS小王子。再分享一个存储型XSS,也是鹅厂的产品QQ。

事情是这样的,自从那次挖到QQ邮箱就感觉鹅厂还是有缺陷的,于是开始在QQ上也试试(主要是回京还要隔离,我特殊,还要在就酒店隔离,这是一笔大花销啊,赶紧赚点钱)

首先,我去QQ空间,个人资料,个性签名等地方一顿乱插,只要有缝的地方我都随手一抬一个payload,可惜没见弹窗,我以为不存在问题了,然鹅在N天过去后,我的女神给我发来一条消息,消息如下:

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

当时我就这样~

我当时心态就崩了,二话不说,开始复现之路。经过我心(wu)思(da)缜(wu)密(zhuang)的分析后,我定位到了问题点。

在好友的个性签名下评论以下payload:

"><img/src=x onerror=alert(document.cookie)>

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

这个时候,好友会收到1条通知 ,就像现在这样~

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

点击新收到的通知即触发XSS漏洞。

《三娃为救爷爷大战蛇精,六娃偷看之不小心挖到了鹅厂的好多XSS》-JE2Se ' Blog

嘿嘿嘿,又拿到一枚存储型xss漏洞,隔离钱到手(后来得知我司可报销疫情期间的特殊隔离费用,于是我把钱给女神买了好多东西,真好)

那天晚上女神就跟我语音,我觉得我俩有戏,她还给我讲了她以前的故事,从前有一个单纯的女孩,由于家里穷,生活拮据,她每天都幻想着自己可以化美美的妆,穿漂亮的裙子,女孩有一面爸爸送给她的小镜子,她很喜欢也很珍惜。可是这一天镜子不小心打碎了,女孩伤心极了,还特意把镜子埋了起来。晚上,一道亮光落在了女孩家的院子里。一个神秘的男人出现了,她告诉女孩自己来自镜子国,看女孩这么喜欢照镜子。他决定送给她一面魔镜,只要对着镜子说出咒语就会实现自己的愿望。之后她发现自己一个差不多境遇的好友突然买了她以前很多想要但是买不起的东西,还出国游玩。整个人也开心了很多。女孩非常的好奇,女孩做了很多的猜想,如猜测她报了在职研究生,业余时间刷了某宝单或考了消防证什么的,她很好奇,这时候女孩就想起了她有一面魔镜,她拿出了魔镜,唤醒了那个神秘的男人,她咨询好友是如何成功的,男人回答她,她的好友之所以成功,是因为她加入了云众可信技术中心的安全部,现在做了渗透测试工程师,听说目前还在招人,每年都有出国游~男人说如果她若是有想法就给tian_jingxin@venusgroup.com.cn发简历,攻防研究,渗透测试,应急响应,方向都包含哦。

(以上漏洞均已修复)

我是子杰,子是子杰的子,杰是子杰的杰。