WooYun.org

漏洞位置：人人网留言板
##1 漏洞是源于之前提交的那个漏洞修补不完善导致。http://wooyun.org/bugs/wooyun-2010-039293
##2 人人网留言板，加入图片留言后，的post请求如下。

在网页中的代码如下。

<img src="http://fmn.rrimg.com/fmn065/20140109/1535/g_head_iA9x_51410000d89a1262.jpg" onclick="showLargePhoto(this, 'http://fmn.rrimg.com/fmn065/20140109/1535/g_large_9tL6_5140000d89a1262.jpg');" style="opacity:1">

其实功能就是一个点击小图查看大图的功能。
##3 上次直接将onclick中大图的地址写为了 http://xxxx',alert(1),'xxxx.jpg 导致在点击图片查看大图的时候就会触发参数位置的js代码。
##4 本来以为这个漏洞修补很简单，开发一看就明白了，所以就画了个漫画提交了，结果开发还是没修好，所以这次就详细的给演示分析下。
##5 经过了上次的那个漏洞，人人网这个点做了以下的限制，经过一番测试后，发现限制如下（有的是之前就有的，有的是上次漏洞后新加的限制）。
过滤了"><&#
但是测试没有过滤单引号'和逗号, 而是将单引号的输入次数限制在了1次！
##6 具体为啥要这么做 ，可能是怕影响正常业务吧，那么问题就来了，可以直接利用下面的代码进行绕过。

##7 网页中F12看一下，果然成功的插入了，闭合了前面的showLargePhoto函数，注视掉了后面多余的js代码。

看，点击图片就弹窗了吧。

##8 一般人可能到这一步弹个窗就完事提交了，这也就是为啥他们的人人网xss分低的原因了。到这一步，当然不能结束，因为弹个窗有毛用，又影响不了数据。所以我们还要证明这里是可以插入任意外部js文件的。
##9 经过一番测试，发现这里的长度还是有限制的，而且还只能用一次单引号，结尾还必须是jpg，前面图片的地址还不能去掉，还有蛮多限制，反正还是蛮恶心的。不过最终还是可以用eval配合String.fromCharCode进行绕过。具体操作如下。
由于网站使用了jq，所以直接用jq的函数，去进行一下String.fromCharCode编码（这里我的xss平台的域名比较长，再多加个http:就会超出长度失效，不过别人还有4字节的xss平台呢）。

然后将其eval后插入post请求，如下。

成功插入后F12看到的效果如下。

别人点击后，直接是查看的大图，完全没有任何异样！

##10 而这时候黑客那边呢？
点击图片查看大图后，触发了onclick中的eval，然后里面编码后的字符串被DOM了一次，然后就在网页中调用了我的外部js文件。然后呢？
呵呵，你的cookie已经被我盗取了！

人人网，一站式cookie，有了cookie就可以做任何事情了！